VírusTR/Agent.tcn
Data em que surgiu:06/06/2009
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Baixo
Ficheiro estático:Não
Versão VDF:7.01.04.64

 Vulgarmente    • Não tem rotinas de propagação
   •  Kaspersky: Backdoor.Win32.Agent.ahrt
   •  F-Secure: Backdoor.Win32.Agent.ahrt
   •  Sophos: Mal/Generic-A
   •  Bitdefender: Trojan.VB.NZF
   • Informação de roubos

 Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\systemserv32.exe
   • C:\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\appleJuice\incoming\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Bearshare\Shared\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\eDonkey2000\Incoming\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\emule\incoming\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Gnucleus\Downloads\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Grokster\My Grokster\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Kazaa Lite K++\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Kazaa\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\KMD\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\limewire\Shared\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Morpheus\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Overnet\incoming\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Rapigator\Share\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Shareaza\Downloads\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Swaptor\Download\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Tesla\Files\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\WinMX\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\XoloX\Downloads\multi_keygen_for_532_games.exe

– Ficheiro que contém uma colecção de endereços de email:
   • %WINDIR%\wkernel32.sys

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– SystemService32
   • %WINDIR%\systemserv32.exe

 Backdoor Contacta o servidor:
Seguinte:
   • http://blog.infolinux.ro/****************

Isto é feito usando o método HTTP GET através de scripts PHP.


Envia informação sobre:
    • Endereços de E-mail recolhidos
    • Nome do computador

 Roubos de informação Tenta roubar a seguinte informação:

– A seguinte CD Key:
   • Steam

– As palavras-chave dos seguintes programas:
   • Firefox
   • Steam

– Usa um sniffer de rede para pesquisar os seguintes textos:
   • :.login; :,login; :!login; :@login; :$login; :%login; :^login;
      :&login; :*login; :-login; :+login; :/login; :\login; :=login;
      :?login; :'login; :`login; :~login; : login; :.auth; :,auth; :!auth;
      :@auth; :$auth; :%auth; :^auth; :&auth; :*auth; :-auth; :+auth;
      :/auth; :\auth; :=auth; :?auth; :'auth; :`auth; :~auth; : auth;
      :.hashin; :!hashin; :$hashin; :%hashin; :.secure; :!secure; :.syn

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.

Descrição enviada por Serban Ghiuta em terça-feira, 28 de julho de 2009
Descrição atualizada por Serban Ghiuta em quarta-feira, 29 de julho de 2009

Voltar . . . .