TR/Agent.PY.10 - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Agent.PY.10
Scoperto:	11/07/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	54.784 Byte
Somma di controllo MD5:	eb4899e6df00aa00209f6452e92e11fd
Versione VDF:	6.35.00.146
Versione IVDF:	6.35.00.185

Generale Metodo di propagazione:
   • Rete locale

Alias:
   • Kaspersky: Backdoor.Win32.Allaple.a
   • TrendMicro: BKDR_AGENT.CXS
   • VirusBuster: Trojan.Agent.PKB
   • Bitdefender: Trojan.Agent.PY

Piattaforma / Sistema operativo:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file
   • Duplica file “maligni”
   • Modifica del registro

File Può corrompere i seguenti file:
• %directory scelta casualmente%\*.htm
• %directory scelta casualmente%\*.html

Vengono creati i seguenti file:

– %directory scelta casualmente%\%stringa casuale di otto caratteri%.exe
– %SYSDIR%\%stringa casuale di otto caratteri%.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Allaple.A.1

– %SYSDIR%\%stringa casuale di otto caratteri%.dll Riconosciuto come: DR/RAHack.FF.2

– %SYSDIR%\%stringa casuale di otto caratteri%.dll Riconosciuto come: TR/Agent.PY.7

– %SYSDIR%\%stringa casuale di otto caratteri%.dll Riconosciuto come: TR/Agent.PY.8

– %SYSDIR%\%stringa casuale di otto caratteri%.dll Riconosciuto come: TR/Agent.PY.9

– %SYSDIR%\%stringa casuale di otto caratteri%.dll Riconosciuto come: TR/Agent.PY.11

Registro Vengono aggiunte le seguenti chiavi di registro:

– HKCR\CLSID\{%CLSID generato%}
   • (Default) = "%stringa di caratteri casuale%"

– HKCR\CLSID\{%CLSID generato%}\LocalServer32
   • (Default) = "%directory scelta casualmente%\%stringa casuale di otto caratteri%.exe"

– HKCR\\CLSID\{%CLSID generato%}\InprocServer32
   • (Default) = "%SYSDIR%\%stringa casuale di otto caratteri%.dll"

“Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

– La seguente lista di Password:
   • "123456789"; "12345678"; "11111111"; "password"; "qwertyui";
      "00000000"; "12341234"; "87654321"; "!@; $%^&*"; "*&^%$; @!"; "!@;
      $%^&*()"; "!@; $%^&*("; "(*&^%$; @!"; ")(*&^%$; @!"; "23456789";
      "PASSWORD"; "mypassword"; "remoteadmin"; "987654321"; "0987654321";
      "09876543"; "PASSWORD"; "5tg6yh"; "MyPassword"; "55555555";
      "999999999"; "22222222"; "20022002"; "20032003"; "20042004";
      "20052005"; "windoze2k"; "88888888"; "1234567890"; "0987654321";
      "nopassword"

Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali e prova a stabilire una connessione.

Processo virale:
Fa scaricare alla macchina compromessa il malware dal computer sorgente “infetto”.
Il file scaricato viene allocato nella macchina compromessa come: C:\wutemp\irvxc.exe

Varie Verifica la presenza di una connessione ad internet contattando i seguenti siti web:
   • http://www.if.ee
   • http://www.starman.ee

Mutex:
Crea il seguente Mutex:
   • jhdgcjhasgdcjasgcjhg2763876uyg3fhg

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Marius T. Nicolae il Thu, 31 Aug 2006 15:38 (GMT+1)
Descrizione aggiornata da Marius T. Nicolae il Fri, 15 Sep 2006 14:27 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro