VírusTR/Agent.VG.8
Data em que surgiu:06/10/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:18.432 Bytes
MD5 checksum:b00760a27528fe13c8750497f3be2b91
Versão VDF:6.36.00.80
Versão IVDF:6.36.00.96 - quinta-feira, 12 de outubro de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Mcafee: BackDoor-CVT
   •  Kaspersky: Trojan.Win32.Agent.aae
   •  F-Secure: Trojan.Win32.Agent.aae
   •  VirusBuster: Trojan.Agent.EPL
   •  Bitdefender: Trojan.Agent.YN


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\win%uma série de caracteres aleatórios%32.dll



Apaga a cópia executada inicialmente.



É criado o seguinte ficheiro:

%SYSDIR%\wineak32.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe
Executa o ficheiro com um dos seguintes parâmetros: -embedding

 Registry (Registo do Windows) São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   win%uma série de caracteres aleatórios%32]
   • "Asynchronous"=dword:00000001
   • "DllName"="win%uma série de caracteres aleatórios%32.dll"
   • "Impersonate"=dword:00000000
   • "Startup"="EvtStartup"
   • "Shutdown"="EvtShutdown"

– [HKLM\SOFTWARE\Microsoft\MSSMGR]
   • "Data"=dword:01c2a630
   • "LSTV"=%valores hex%
   • "Brnd"=dword:0000030b
   • "Rid"=dword:000000cd
   • "LID"=dword:0000003a
   • "SCLIST"=%valores hex%
   • "SSLIST"=%valores hex%

 Backdoor Contacta o servidor:
Seguintes:
   • here4search.biz/img/**********
   • smart-security.biz/img/**********
   • l.mezzicodec.net/a412/**********
   • dr.mcboo.com/**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Isto é feito usando o método HTTP GET através de scripts PHP.


Envia informação sobre:
    • Situação actual de malware
    • Tempo de vida do malware


Capacidades de controlo remoto:
    • Download de ficheiros
    • Executa o ficheiro

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Adriana Popa em segunda-feira, 13 de novembro de 2006
Descrição atualizada por Adriana Popa em segunda-feira, 13 de novembro de 2006

Voltar . . . .