TR/Agent.PY.10 - Trojan

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	TR/Agent.PY.10
Data em que surgiu:	11/07/2006
Tipo:	Trojan
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Médio
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	54.784 Bytes
MD5 checksum:	eb4899e6df00aa00209f6452e92e11fd
Versão VDF:	6.35.00.146
Versão IVDF:	6.35.00.185

Vulgarmente Meio de transmissão:
   • Rede local

Alias:
   • Kaspersky: Backdoor.Win32.Allaple.a
   • TrendMicro: BKDR_AGENT.CXS
   • VirusBuster: Trojan.Agent.PKB
   • Bitdefender: Trojan.Agent.PY

Sistema Operativo:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

Ficheiros Pode corromper os ficheiros seguintes:
• %directório seleccionado aleatoriamente%\*.htm
• %directório seleccionado aleatoriamente%\*.html

São criados os seguintes ficheiros:

– %directório seleccionado aleatoriamente%\%oito caracteres aleatórios%.exe
– %SYSDIR%\%oito caracteres aleatórios%.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: BDS/Allaple.A.1

– %SYSDIR%\%oito caracteres aleatórios%.dll Detectado como: DR/RAHack.FF.2

– %SYSDIR%\%oito caracteres aleatórios%.dll Detectado como: TR/Agent.PY.7

– %SYSDIR%\%oito caracteres aleatórios%.dll Detectado como: TR/Agent.PY.8

– %SYSDIR%\%oito caracteres aleatórios%.dll Detectado como: TR/Agent.PY.9

– %SYSDIR%\%oito caracteres aleatórios%.dll Detectado como: TR/Agent.PY.11

Registry (Registo do Windows) São adicionadas as seguintes chaves ao registo:

– HKCR\CLSID\{%CLSID gerado%}
   • (Default) = "%uma série de caracteres aleatórios%"

– HKCR\CLSID\{%CLSID gerado%}\LocalServer32
   • (Default) = "%directório seleccionado aleatoriamente%\%oito caracteres aleatórios%.exe"

– HKCR\\CLSID\{%CLSID gerado%}\InprocServer32
   • (Default) = "%SYSDIR%\%oito caracteres aleatórios%.dll"

Infecção da rede Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Usa a seguinte informação de login para ganhar acesso à máquina remota:

– A seguinte lista de palavras-chave:
   • "123456789"; "12345678"; "11111111"; "password"; "qwertyui";
      "00000000"; "12341234"; "87654321"; "!@; $%^&*"; "*&^%$; @!"; "!@;
      $%^&*()"; "!@; $%^&*("; "(*&^%$; @!"; ")(*&^%$; @!"; "23456789";
      "PASSWORD"; "mypassword"; "remoteadmin"; "987654321"; "0987654321";
      "09876543"; "PASSWORD"; "5tg6yh"; "MyPassword"; "55555555";
      "999999999"; "22222222"; "20022002"; "20032003"; "20042004";
      "20052005"; "windoze2k"; "88888888"; "1234567890"; "0987654321";
      "nopassword"

Criação de endereços IP:
Cria endereços IP aleatórios e tenta estabelecer uma ligação com eles.

Processo de infecção:
A máquina a atacada efectua o download do malware da máquina atacante.
O ficheiro descarregado é armazenado na máquina a atacar: C:\wutemp\irvxc.exe

Informações diversas Procura uma ligação de internet contactando um dos seguintes web sites:
   • http://www.if.ee
   • http://www.starman.ee

Mutex:
Cria o seguinte Mutex:
   • jhdgcjhasgdcjasgcjhg2763876uyg3fhg

Detalhes do ficheiro Linguagem de programação:
Ficheiro escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Veja aqui uma breve descrição.

Descrição adicionada por Marius T. Nicolae em Thu, 31 Aug 2006 15:38 (GMT+1)
Descrição adicionada por Marius T. Nicolae em Fri, 15 Sep 2006 14:27 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back