TR/Spam.Agent.AKO.2 - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Spam.Agent.AKO.2
Scoperto:	12/06/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	157.696 Byte
Somma di controllo MD5:	1d017299e67bc813f3758e9ce6064a4d
Versione VDF:	6.36.01.31
Versione IVDF:	6.36.01.34

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Mcafee: Spam-DComServ
   • Kaspersky: Trojan.Win32.Agent.pk
   • F-Secure: Trojan.Win32.Agent.pk
   • Sophos: Troj/SpamThru-I

Precedentemente individuato come:
   • TR/Drop.Agent.AKO.2

Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Blocca l'accesso a certi siti web
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

Registro Il valore della seguente chiave di registro viene rimosso:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "DCOM Server"

Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Classes\CLSID\
   {2C1CD3D7-86AC-4068-93BC-A02304BB2236}]
– [HKLM\SOFTWARE\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2236}\
   InProcServer32]
   • @="%directory di esecuzione del malware%\%file eseguiti%.dll"
   • "ThreadingModel"="Apartment"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   SharedTaskScheduler]
   • "{2C1CD3D7-86AC-4068-93BC-A02304BB2236}"="DCOM Server 2236"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "DCOM Server 2236"="{2C1CD3D7-86AC-4068-93BC-A02304BB2236}"

Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti non vengono modificati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • www.trendmicro.com; rads.mcafee.com; customer.symantec.com;
      liveupdate.symantec.com; us.mcafee.com; updates.symantec.com;
      www.nai.com; secure.nai.com; dispatch.mcafee.com; download.mcafee.com;
      www.my-etrust.com; mast.mcafee.com; ca.com; www.ca.com;
      networkassociates.com; www.networkassociates.com; avp.com;
      www.kaspersky.com; www.avp.com; downloads4.kaspersky-labs.com;
      downloads3.kaspersky-labs.com; downloads2.kaspersky-labs.com;
      downloads1.kaspersky-labs.com; www.f-secure.com; viruslist.com;
      www.viruslist.com; liveupdate.symantecliveupdate.com; www.mcafee.com;
      sophos.com; www.sophos.com; securityresponse.symantec.com;
      www.symantec.com

L'host del file modificato sarà del tipo:

Backdoor Viene aperta la seguente porta:

– rundll32.exe su una porta TCP casuale

Contatta il server:
Il seguente:
• 208.66.195.**********:2236

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

Capacità di controllo remoto:
• Inviare email

Varie Mutex:
Crea i seguenti Mutex:
• hs5p_av_mutex
• hs5pdllv42236

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Adriana Popa il Wed, 08 Nov 2006 10:22 (GMT+1)
Descrizione aggiornata da Adriana Popa il Wed, 15 Nov 2006 12:54 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro