VírusTR/Spy.ProAg.21.3.A
Data em que surgiu:19/09/2005
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:246.349 Bytes
MD5 checksum:85fa8947452cfcc3da30d54f888fbf10
Versão VDF:6.32.00.16

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-Spy.Win32.ProAgent.21
   •  Sophos: Troj/Progent-P
   •  Grisoft: PSW.Agent.NR
   •  VirusBuster: trojan TrojanSpy.ProAgent.I
   •  Bitdefender: Trojan.Spy.Proagent.21


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega ficheiros
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail
   • Baixa as definições de segurança
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informação de roubos


Depois de executado é visualizada a seguinte informação:


 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\qservice.exe



Altera o conteúdo de um ficheiro.
%SYSDIR%\drivers\symredrv.sys

Com os conteúdos seguintes:
   • No more Mail Scanning =)
     Powered by ProAgent




São criados os seguintes ficheiros:

– Ficheiro não malicioso:
   • %TEMPDIR%\htmpl.htm

– Ficheiros temporários que poderam ser apagados mais tarde:
   • %SYSDIR%\agnt_mps.exe
   • %SYSDIR%\agnt_fps.exe
   • %SYSDIR%\agnt_msn.exe
   • %SYSDIR%\agnt_pnc.exe
   • %SYSDIR%\agnt_mps.dat
   • %SYSDIR%\agnt_fps.dat
   • %SYSDIR%\agnt_msn.dat
   • %SYSDIR%\_pnc.dat

%SYSDIR%\drivers\KeenSense.sys É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • Hi criminal =)

%SYSDIR%\drivers\ksdevice.sys É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • Hi criminal =)

%WINDIR%\kurlmon.dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Spy.ProAgent.21.1

%WINDIR%\services.dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Spy.ProAgent.21.2

%SYSDIR%\HookApi.dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Spy.ProAgent.21

%WINDIR%\k_urlmon.dll O ficheiro contém informação das teclas pressionadas.

 Registry (Registo do Windows) A chave seguinte é adicionada (num loop infinito) ao registo, para executar os processos depois de reinicializar.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "qservices"="%WINDIR%\qservice.exe"



É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\Windows]
   • "qservices" = "qservices"
   • "pVer" = dword:%número hexadecimal%
   • "pPid" = dword:%número hexadecimal%

 E-mail Não tem a sua própria rotina de propagação mas tem capacidade para enviar um e-mail. É provável que o destinatário seja o autor. As características são as seguintes:


De:
O remetente do e-mail é o seguinte:
   • "ProAgent v2.1.0" <ProAgent@Yahoo.com>


Para:
O destinatário do e-mail é o seguinte:
   • maturpejos@yahoo.com


Assunto:
O seguinte:
   • %nome do computador% is Online



Corpo:
O corpo do email é o seguinte:
   • %informação roubada%

 Terminar o processo  Lista de serviços desactivados:
   • Norton AntiVirus Auto-Protect Service
   • Kaspersky AntiVirus
   • McAfee Shield
   • System Restore Service

 Roubos de informação Tenta roubar a seguinte informação:
– Windows Product ID
– Palavras-chave digitadas em 'campos de entrada de palavras-chave'
– Informações da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– As seguintes CD Keys:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White; Call
      Of Duty; Command & Conquer Generals; Command and Conquer: Generals
      (Zero Hour); Command and Conquer: Red Alert 2; Command and Conquer:
      Tiberian Sun; Counter-Strike (Retail); Chrome; FarCry; FIFA 2002; FIFA
      2003; FIFA 2004; FIFA 2005; Freedom Force; Global Operations; Gunman
      Chronicles; Half-Life; Hidden & Dangerous 2; IGI 2: Covert Strike;
      Industry Giant 2; James Bond 007: Nightfire; Legends of Might and
      Magic; Medal of Honor: Allied Assault; Medal of Honor: Allied Assault:
      Breakthrough; Medal of Honor: Allied Assault: Spearhead; Nascar Racing
      2002; Nascar Racing 2003; Nascar Racing 2004; Nascar Racing 2005; Need
      For Speed: Underground; Need For Speed: Hot Pursuit 2; NBA Live 2003;
      NBA Live 2004; NBA Live 2005; NHL 2003; NHL 2004; NHL 2005; NHL 2002;
      NOX; NOX2; Quake III Arena; Rainbow Six III RavenShield; Shogun: Total
      War: Warlord Edition; Soldiers Of Anarchy; The Gladiators; The Sims;
      The Sims Deluxe; The Sims Hot Date; The Sims House Party; The Sims
      Livin' Large; The Sims Superstar; The Sims Unleashed; The Sims
      Vacation; Unreal Tournament 2003; Unreal Tournament 2004; Unreal
      Tournament 2005; GetBackData NTFS

– As palavras-chave dos seguintes programas:
   • Cute FTP
   • Flash FXP
   • WS_FTP
   • Filezilla
   • Peer FTP
   • Exeem
   • Sendlink
   • Chat Anywhere
   • FTP Now
   • Deluxe FTP
   • Morpheus
   • Bitcomet
   • Firefly
   • MSN Messenger
   • Windows Messenger
   • Yahoo Messenger
   • ICQ
   • AOL Instant Messenger
   • Trillian
   • Miranda
   • GAIM
   • Outlook Express
   • Microsoft Outlook
   • IncrediMail
   • Eudora
   • Netscape
   • Mozilla Thunderbird
   • Group Mail Free
   • Yahoo! Mail
   • Hotmail/MSN
   • Gmail

– Captura:
    • Teclar
    • Janela de informação

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: kurlmon.dll

    Nome do processo:
   • explorer.exe



–  Introduz o seguinte ficheiro num processo: HookApi.dll

    Nome do processo:
   • explorer.exe



–  Introduz o seguinte ficheiro num processo: services.dll

    Nome do processo:
   • iexplore.exe


 Informações diversas Ligação à internet:
Para conferir a sua ligação à internet são contatados os seguintes servidores de DNS :
   • ege.edu.tr
   • ankara.edu.tr


Procura uma ligação de internet contactando o seguinte web site:
   • www.aol.com


Texto:
Além disso tem o seguinte texto:
   • [ProAgent Trojan Horse -- Coded by SIS-Team - Made in Turkey]

 Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.


Oculta o seguinte:
– Os seus próprios ficheiros
– Os seus próprios processos
– As suas próprias chaves de registo

– O seguinte ficheiro:
   • msehk.dll

– Ficheiros que contenham o seguinte conjunto de caracteres no nome de ficheiro:
   • wins32

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Daniel Constantin em terça-feira, 11 de abril de 2006
Descrição atualizada por Daniel Constantin em quarta-feira, 12 de abril de 2006

Voltar . . . .