VírusTR/Click.Agent.HF
Data em que surgiu:20/09/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:155.648 Bytes
MD5 checksum:fc59165dec86b8cf17e1151029200D26
Versão VDF:6.35.01.115
Versão IVDF:6.35.01.116 - segunda-feira, 21 de agosto de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-Clicker.Win32.Agent.hf
   •  Bitdefender: Trojan.Clicker.Agent.HB


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Altera o registo do Windows

 Ficheiros  Elimina os seguintes ficheiros:
   • %temporary internet files%\Content.IE5\%todas as pastas%\*.gif
   • %temporary internet files%\Content.IE5\%todas as pastas%\*.xml
   • %temporary internet files%\Content.IE5\%todas as pastas%\*.js
   • %temporary internet files%\Content.IE5\%todas as pastas%\*.css
   • %temporary internet files%\Content.IE5\%todas as pastas%\*.cab
   • %temporary internet files%\Content.IE5\%todas as pastas%\*.jsp
   • %temporary internet files%\Content.IE5\%todas as pastas%\*.htm




Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://www.baidu.com/**********
Encontra-se no disco rígido: %temporary internet files%\Content.IE5\%directório seleccionado aleatoriamente%\s.htm

– A partir da seguinte localização:
   • http://www.baidu.com/img/**********
Encontra-se no disco rígido: %temporary internet files%\Content.IE5\%directório seleccionado aleatoriamente%\logo-yy.gif

 Registry (Registo do Windows) É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\Internet Explorer\International]
   • "W2KLpk"=dword:00000001

 Backdoor Contacta o servidor:
Seguinte:
   • http://lilainet.vicp.net/001/**********

Depois de ligado obtém uma lista adicional de servidores.
Como resultado pode enviar alguma informação.

Envia informação sobre:
    • Situação actual de malware

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • InternetClick

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Monica Ghitun em quarta-feira, 20 de setembro de 2006
Descrição atualizada por Andrei Ivanes em quarta-feira, 18 de outubro de 2006

Voltar . . . .