VírusTR/Agent.PK.12
Data em que surgiu:28/07/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:152.576 Bytes
MD5 checksum:07c5676f2679af4a221b943e012daa2a
Versão VDF:6.35.01.17 - sexta-feira, 28 de julho de 2006
Versão IVDF:6.35.01.17 - sexta-feira, 28 de julho de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Bloqueia o acesso a Web sites de segurança
   • Altera o registo do Windows

 Ficheiros Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • 208.66.195.**********:2234
Encontra-se no disco rígido: %TEMPDIR%\%vários dígitos aleatórios%\2234.exe Além disso executa-se depois do download estar completo.

 Registry (Registo do Windows) O valor da seguinte chave Registo é eliminado:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "DCOM Server"



Regista um Objecto de Ajuda do Browser (BHO) adicionando a seguinte chave ao registo do Windows:

– HKCR\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2234}\InProcServer32
   • "ThreadingModel"="Apartment"
   • "(Default)"="%directório de execução do malware%\%ficheiro executado%"



São adicionadas as seguintes chaves ao registo:

– HKCR\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2234}
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad
   • "DCOM Server 2234"="{2C1CD3D7-86AC-4068-93BC-A02304BB2234}"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   SharedTaskScheduler
   • "{2C1CD3D7-86AC-4068-93BC-A02304BB2234}"="DCOM Server 2234"

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso não haverá alterações.

– O acesso aos seguintes domínios é bloqueado:
   • www.trendmicro.com; rads.mcafee.com; customer.symantec.com;
      liveupdate.symantec.com; us.mcafee.com; updates.symantec.com;
      www.nai.com; secure.nai.com; dispatch.mcafee.com; download.mcafee.com;
      www.my-etrust.com; mast.mcafee.com; ca.com; www.ca.com;
      networkassociates.com; www.networkassociates.com; avp.com;
      www.kaspersky.com; www.avp.com; downloads4.kaspersky-labs.com;
      downloads3.kaspersky-labs.com; downloads2.kaspersky-labs.com;
      downloads1.kaspersky-labs.com; www.f-secure.com; viruslist.com;
      www.viruslist.com; liveupdate.symantecliveupdate.com; www.mcafee.com;
      sophos.com; www.sophos.com; securityresponse.symantec.com;
      www.symantec.com




O ficheiro hospedeiro (alterado) terá a seguinte aparência:


 Backdoor Contacta o servidor:
Seguinte:
   • 208.66.195.**********:2234

Como resultado pode enviar alguma informação. A resposta do servidors é escrita no ficheiro: %APPDATA%\Microsoft\2234.dat


Envia informação sobre:
    • Informação sobre o sistema operativo Windows

 Informações diversas  Procura uma ligação de internet contactando um dos seguintes web sites:
   • aol.com
   • verizon.net
   • ameritech.net
   • cox.net
   • rr.com
   • adelphia.net
   • comcast.net
   • optonline.net


Mutex:
Cria o seguinte Mutex:
   • hs5pdllv42234

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Marius T. Nicolae em terça-feira, 8 de agosto de 2006
Descrição atualizada por Marius T. Nicolae em quinta-feira, 17 de agosto de 2006

Voltar . . . .