VírusTR/Agent.bah
Data em que surgiu:12/07/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:2.836.992 Bytes
MD5 checksum:c9990e25bf40674a2fefe09fbb931b5a
Versão VDF:6.35.00.154
Versão IVDF:6.35.00.193 - quinta-feira, 20 de julho de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan.Win32.Pakes
   •  TrendMicro: BKDR_HUPIGON.AYE
   •  F-Secure: Trojan.Win32.Pakes
   •  Eset: Win32/Hupigon.NAB
   •  Bitdefender: Backdoor.Agent.QF


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08O.com



Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

%SYSDIR%\drivers\oreans32.sys
%PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08O.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Pakes.A.687

%PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08Okey.DLL Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Pakes.A.688

%PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08Okey.log O ficheiro contém informação das teclas pressionadas.
%WINDIR%\uninstal.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000001
   • "ImagePath"=\??\%SYSDIR%\drivers\oreans32.sys
   • "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Backdoor Contacta o servidor:
Seguinte:
   • nightscorpio.kmip.**********:8989

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Também, repete a ligação periodicamente.

Envia informação sobre:
    • Nome do computador
    • Tipo de ligação à Internet
    • Endereço IP
    • Informação sobre o sistema operativo Windows


Capacidades de controlo remoto:
    • Lança DDoS SYN floods
    • Desactiva partilhas de rede
    • Activa partilhas de rede
    • Inicia o keylog

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: MSMDG08O.dll

    Nome do processo:
   • iexplore.exe



–  Introduz o seguinte ficheiro num processo: MSMDG08Okey.DLL

    Nome do processo:
   • %todos os processo em execução%


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Adriana Popa em segunda-feira, 4 de setembro de 2006
Descrição atualizada por Adriana Popa em terça-feira, 12 de setembro de 2006

Voltar . . . .