TR/Dldr.Agent.bky - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Dldr.Agent.bky
Scoperto:	31/03/2007
Tipo:	Trojan
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	13.312 Byte
Somma di controllo MD5:	e9100Ce97a5b4fbd8857b25ffe2d7179
Versione VDF:	6.38.00.149
Versione IVDF:	6.38.00.152

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Mcafee: W32/Fujacks.ah
   • Kaspersky: Worm.Win32.Fujack.ar
   • F-Secure: Worm.Win32.Fujack.ar
   • Panda: W32/DiskInfector.A.worm
   • Grisoft: Downloader.Agent.KCA
   • VirusBuster: Worm.OnlineGames.SD
   • Eset: Win32/Fubalca.A
   • Bitdefender: Win32.Worm.Tunga.B

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Accesso al floppy disk
   • Scarica file “maligni”
   • Modifica del registro

File Si copia alle seguenti posizioni:
   • %SYSDIR%\sysload3.exe
   • %SYSDIR%\tempload.exe
   • %SYSDIR%\tempIcon.exe
   • A:\tool.exe

Delle sezioni vengono aggiunte ai seguenti file.
– A: %tutte le directory%\*.HTML Con i seguenti contenuti:
   • script src=http://macr.microfsot.com/********** /script

– A: %tutte le directory%\*.ASPX Con i seguenti contenuti:
   • script src=http://macr.microfsot.com/********** /script

– A: %tutte le directory%\*.PHP Con i seguenti contenuti:
   • script src=http://macr.microfsot.com/********** /script

– A: %tutte le directory%\*.JSP Con i seguenti contenuti:
   • script src=http://macr.microfsot.com/********** /script

– A: %tutte le directory%\*.ASP Con i seguenti contenuti:
   • script src=http://macr.microfsot.com/********** /script

Viene creato il seguente file:

– A:\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

Prova a scaricare un file:

– La posizione è la seguente:
   • http://a.2007ip.com/**********
Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• System Boot Check="%SYSDIR%\sysload3.exe"

Come il virus si inserisce nei processi – Si inserisce in un processo.

    Tutti i seguenti processi:
   • notepad.exe
   • IEXPLORE.EXE

Varie Mutex:
Crea i seguenti Mutex:
   • MySignal
   • MyInfect
   • MyDownload

Stringa:
In più contiene la seguente stringa:
   • I will by one BMW this year!

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Ana Maria Niculescu il Thu, 08 Nov 2007 13:00 (GMT+1)
Descrizione aggiornata da Andrei Gherman il Fri, 09 Nov 2007 12:17 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro