VírusTR/Agent.AGNY
Data em que surgiu:24/01/2008
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:205.449 Bytes
MD5 checksum:0A834d4813f7b44024b2e68d20957aee
Versão IVDF:7.00.02.41 - quinta-feira, 24 de janeiro de 2008

 Vulgarmente Meio de transmissão:
   • Unidade de rede


Alias:
   •  Mcafee: W32/Autorun.worm.g
   •  Kaspersky: Trojan-Downloader.Win32.Agent.hzy
   •  F-Secure: Trojan-Downloader.Win32.Agent.hzy
   •  Eset: Win32/AutoRun.HL
   •  Bitdefender: Trojan.Agent.AGNY


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Baixa as definições de segurança

 Ficheiros Autocopia-se para as seguintes localizações
   • c:\windows\system\lsass.exe
   • %lixeira%\Recycler\AutoLaunch.exe
   • %TEMPDIR%\services.exe



Cria a seguinte pasta:
   • %TEMPDIR%\WinSecurityUpd



São criados os seguintes ficheiros:

– drive:\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%TEMPDIR%\WinSecurityUpd\ms_auto É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%TEMPDIR%\WinSecurityUpd\ms_drvlst É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • ABCDEFGHIJKLMNOPQRSTUVWXYZ

%TEMPDIR%\WinSecurityUpd\udpate~1.tmp É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • file

%TEMPDIR%\csrss.bat É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %TEMPDIR%\csrss.bat

%TEMPDIR%\ltmpp.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.
%TEMPDIR%\lsassexe.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %SYSDIR%\netsh.exe
Executa o ficheiro com um dos seguintes parâmetros: firewall set opmode disable


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe
Executa o ficheiro com um dos seguintes parâmetros: /c if exist %TEMPDIR%\csrss.bat call %TEMPDIR%\csrss.bat


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\ping.exe
Executa o ficheiro com um dos seguintes parâmetros: google.com > %TEMPDIR%\ping2.log

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Andrei Gherman em quinta-feira, 19 de junho de 2008
Descrição atualizada por Andrei Gherman em quinta-feira, 19 de junho de 2008

Voltar . . . .