VírusTR/Agent.NL.21
Data em que surgiu:11/09/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:82.944 Bytes
MD5 checksum:4e19ffc16eaca8513df29d1489e69396
Versão VDF:6.35.01.208
Versão IVDF:6.35.01.212 - terça-feira, 12 de setembro de 2006

 Vulgarmente Alias:
   •  Kaspersky: Trojan.Win32.Agent.nl


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Bloqueia o acesso a Web sites de segurança
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Explorer 2238"=%directório de execução do malware%\%ficheiro executado%



Os valores das seguintes chaves registo do windows são eliminados:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DCOM Server
–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DCOM Server


São adicionadas as seguintes chaves ao registo:

– HKLM\SOFTWARE\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2238}\
   InProcServer32
   • "(Default)""=%directório de execução do malware%\%ficheiro executado%
   • "ThreadingModel"="Apartment"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   SharedTaskScheduler
   • "{2C1CD3D7-86AC-4068-93BC-A02304BB2238}"="DCOM Server 2238"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad
   • "DCOM Server 2238"="{2C1CD3D7-86AC-4068-93BC-A02304BB2238}"

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso não haverá alterações.

– O acesso aos seguintes domínios é bloqueado:
   • www.trendmicro.com; rads.mcafee.com; customer.symantec.com;
      liveupdate.symantec.com; us.mcafee.com; updates.symantec.com;
      www.nai.com; secure.nai.com; dispatch.mcafee.com; download.mcafee.com;
      www.my-etrust.com; mast.mcafee.com; ca.com; www.ca.com;
      networkassociates.com; www.networkassociates.com; avp.com;
      www.kaspersky.com; www.avp.com; downloads4.kaspersky-labs.com;
      downloads3.kaspersky-labs.com; downloads2.kaspersky-labs.com;
      downloads1.kaspersky-labs.com; www.f-secure.com; viruslist.com;
      www.viruslist.com; liveupdate.symantecliveupdate.com; www.mcafee.com;
      sophos.com; www.sophos.com; securityresponse.symantec.com;
      www.symantec.com


 Backdoor É aberta a seguinte porta:

%ficheiro executado% numa porta TCP aleatória


Contacta o servidor:
Seguinte:
   • 208.66.195**********:2238



Capacidades de controlo remoto:
    • Desactiva o DCOM
    • Download de ficheiros
    • Envia emails

 Informações diversas Mutex:
Cria os seguintes Mutexes:
   • hs5pdllv42238
   • hs5p_av_mutex

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Bogdan Iliuta em segunda-feira, 2 de outubro de 2006
Descrição atualizada por Bogdan Iliuta em sexta-feira, 27 de outubro de 2006

Voltar . . . .