Nume:TR/Spy.ProAg.21.3.A
Descoperit pe data de:19/09/2005
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:246.349 Bytes
MD5:85fa8947452cfcc3da30d54f888fbf10
Versiune VDF:6.32.00.16

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Spy.Win32.ProAgent.21
   •  Sophos: Troj/Progent-P
   •  Grisoft: PSW.Agent.NR
   •  VirusBuster: trojan TrojanSpy.ProAgent.I
   •  Bitdefender: Trojan.Spy.Proagent.21


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Creeaza fisiere
   • Creeaza fisiere malware
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii


Imediat dupa lansarea in executie, pe ecran este afisat:


 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\qservice.exe



Suprascrie un fisier.
– %SYSDIR%\drivers\symredrv.sys

Cu urmatorul continut:
   • No more Mail Scanning =)
     Powered by ProAgent




Sunt create fisierele:

– Fisier inofensiv:
   • %TEMPDIR%\htmpl.htm

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\agnt_mps.exe
   • %SYSDIR%\agnt_fps.exe
   • %SYSDIR%\agnt_msn.exe
   • %SYSDIR%\agnt_pnc.exe
   • %SYSDIR%\agnt_mps.dat
   • %SYSDIR%\agnt_fps.dat
   • %SYSDIR%\agnt_msn.dat
   • %SYSDIR%\_pnc.dat

– %SYSDIR%\drivers\KeenSense.sys Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • Hi criminal =)

– %SYSDIR%\drivers\ksdevice.sys Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • Hi criminal =)

– %WINDIR%\kurlmon.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Spy.ProAgent.21.1

– %WINDIR%\services.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Spy.ProAgent.21.2

– %SYSDIR%\HookApi.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Spy.ProAgent.21

– %WINDIR%\k_urlmon.dll Acest fisier stocheaza datele introduse de utilizator la tastatura.

 Registrii sistemului Urmatoarea cheie este adaugata in registri, in mod repetat, pentru a porni procesul dupa reboot.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "qservices"="%WINDIR%\qservice.exe"



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\Windows]
   • "qservices" = "qservices"
   • "pVer" = dword:%numar hexazecimal%
   • "pPid" = dword:%numar hexazecimal%

 Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:


De la:
Expeditorul email-ului este urmatorul:
   • "ProAgent v2.1.0" <ProAgent@Yahoo.com>


Catre:
Destinatarul mesajului este:
   • maturpejos@yahoo.com


Subiect:
Urmatorul:
   • %numele computerului% is Online



Corpul email-ului:
Corpul email-ului este:
   • %informatiile sustrase%

 Terminarea proceselor  Lista cu serviciile dezactivate:
   • Norton AntiVirus Auto-Protect Service
   • Kaspersky AntiVirus
   • McAfee Shield
   • System Restore Service

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Windows Product ID
– Parole tastate in campuri de logare
– Informatii despre contul de email, obtinute din cheia de registru: HKCU\SoftwareMicrosoft\Internet Account Manager\Accounts

– Urmatoarele CD-keys:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White; Call
      Of Duty; Command & Conquer Generals; Command and Conquer: Generals
      (Zero Hour); Command and Conquer: Red Alert 2; Command and Conquer:
      Tiberian Sun; Counter-Strike (Retail); Chrome; FarCry; FIFA 2002; FIFA
      2003; FIFA 2004; FIFA 2005; Freedom Force; Global Operations; Gunman
      Chronicles; Half-Life; Hidden & Dangerous 2; IGI 2: Covert Strike;
      Industry Giant 2; James Bond 007: Nightfire; Legends of Might and
      Magic; Medal of Honor: Allied Assault; Medal of Honor: Allied Assault:
      Breakthrough; Medal of Honor: Allied Assault: Spearhead; Nascar Racing
      2002; Nascar Racing 2003; Nascar Racing 2004; Nascar Racing 2005; Need
      For Speed: Underground; Need For Speed: Hot Pursuit 2; NBA Live 2003;
      NBA Live 2004; NBA Live 2005; NHL 2003; NHL 2004; NHL 2005; NHL 2002;
      NOX; NOX2; Quake III Arena; Rainbow Six III RavenShield; Shogun: Total
      War: Warlord Edition; Soldiers Of Anarchy; The Gladiators; The Sims;
      The Sims Deluxe; The Sims Hot Date; The Sims House Party; The Sims
      Livin' Large; The Sims Superstar; The Sims Unleashed; The Sims
      Vacation; Unreal Tournament 2003; Unreal Tournament 2004; Unreal
      Tournament 2005; GetBackData NTFS

– Parolele din urmatoarele programe:
   • Cute FTP
   • Flash FXP
   • WS_FTP
   • Filezilla
   • Peer FTP
   • Exeem
   • Sendlink
   • Chat Anywhere
   • FTP Now
   • Deluxe FTP
   • Morpheus
   • Bitcomet
   • Firefly
   • MSN Messenger
   • Windows Messenger
   • Yahoo Messenger
   • ICQ
   • AOL Instant Messenger
   • Trillian
   • Miranda
   • GAIM
   • Outlook Express
   • Microsoft Outlook
   • IncrediMail
   • Eudora
   • Netscape
   • Mozilla Thunderbird
   • Group Mail Free
   • Yahoo! Mail
   • Hotmail/MSN
   • Gmail

– Face captura la:
    • Datele introduse de la tastatura
    • Informatii legate de fereastra

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: kurlmon.dll

    Numele procesului:
   • explorer.exe



–  Injecteaza fisierul urmator intr-un proces: HookApi.dll

    Numele procesului:
   • explorer.exe



–  Injecteaza fisierul urmator intr-un proces: services.dll

    Numele procesului:
   • iexplore.exe


 Alte informatii Conexiune internet:
Pentru a verifica legatura la internet se conecteaza la urmatoarele servere DNS:
   • ege.edu.tr
   • ankara.edu.tr


Cauta o conexiune Internet, contactand urmatorul website:
   • www.aol.com


Sir de caractere:
In plus, mai contine urmatorul sir de caractere:
   • [ProAgent Trojan Horse -- Coded by SIS-Team - Made in Turkey]

 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Ascunde urmatoarele:
– Propriile fisiere
– Propriile procese
– Propriile chei de registru

– Urmatorul fisier:
   • msehk.dll

– Fisiere ale caror nume contin stringul:
   • wins32

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Descrição enviada por Daniel Constantin em terça-feira, 11 de abril de 2006
Descrição atualizada por Daniel Constantin em quarta-feira, 12 de abril de 2006

Voltar . . . .