TR/Agent.249856.B - Trojan

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	TR/Agent.249856.B
Data em que surgiu:	26/03/2008
Tipo:	Trojan
Incluído na lista "In The Wild"	Sim
Nível de danos:	Baixo
Nível de distribuição:	Médio
Nível de risco:	Médio
Ficheiro estático:	Não
Tamanho:	~200.000 Bytes
Versão VDF:	7.00.03.69
Versão IVDF:	7.00.03.74

Vulgarmente Meio de transmissão:
   • E-mail

Alias:
   • Kaspersky: Trojan.Win32.Agent.gjp
   • F-Secure: Trojan.Win32.Agent.gjp
   • Bitdefender: Backdoor.Oderoor.BM

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
• %SYSDIR%\%uma série de caracteres aleatórios%.exe

Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • %uma série de caracteres aleatórios% ="%SYSDIR%\%uma série de caracteres aleatórios%.exe"

Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %uma série de caracteres aleatórios% ]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\%uma série de caracteres aleatórios%.exe /service"
   • "DisplayName"="Print Spooler Service"
   • "ObjectName"="LocalSystem"

É adicionada a seguinte chave de registo:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %uma série de caracteres aleatórios%\Security]
   • "Security"=%valores hex%

E-mail Contém um motor de SMTP integrado para enviar e-mails de Spam. É estabelecida uma ligação directa com o servidor de destino. As características são as seguintes:

De:
Endereços recolhidos na internet. Por favor não assuma que era intenção do remetente enviar este e-mail para si. Ele pode não saber que tem o computador infectado ou pode mesmo nem estar infectado. Além disso é possível que receba e-mails indicando que em

Para:
– Endereços recolhidos na internet:

Backdoor É aberta a seguinte porta:

– %uma série de caracteres aleatórios%.exe numa porta TCP 49500

Contacta o servidor:
Seguinte:
• **********:447

Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa remota num processo.

Nome do processo:
• winlogon.exe

Informações diversas Mutex:
Cria o seguinte Mutex:
• 2819717815

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Veja aqui uma breve descrição.

Descrição adicionada por Ernest Szocs em Tue, 01 Apr 2008 10:56 (GMT+1)
Descrição adicionada por Ernest Szocs em Tue, 01 Apr 2008 12:22 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back