TR/Agent.PK.12 - Trojan

In alte limbi

Scurta descriere

Descriere completa

Statistici

Nume:	TR/Agent.PK.12
Descoperit pe data de:	28/07/2006
Tip:	Troian
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	152.576 Bytes
MD5:	07c5676f2679af4a221b943e012daa2a
Versiune VDF:	6.35.01.17
Versiune IVDF:	6.35.01.17

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Blocheaza accesul la website-uri ale firmelor de securitate
   • Modificari in registri

Fisiere Incearca sa descarce un fisier:

– Adresa este urmatoarea:
• 208.66.195.**********:2234
Fisierul este stocat pe hard disc la: %TEMPDIR%\%cateva numere aleatoare de la 0 la 9%\2234.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet.

Registrii sistemului Valoarea urmatoarei chei este stearsa din registri:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "DCOM Server"

Inregistreaza un browser helper object (BHO) prin adaugarea urmatoarei chei in registri:

– HKCR\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2234}\InProcServer32
   • "ThreadingModel"="Apartment"
   • "(Default)"="%directorul de activare malware%\%fisier executat%"

Urmatoarele chei sunt adaugate in registrii sistemului:

– HKCR\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2234}
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad
   • "DCOM Server 2234"="{2C1CD3D7-86AC-4068-93BC-A02304BB2234}"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   SharedTaskScheduler
   • "{2C1CD3D7-86AC-4068-93BC-A02304BB2234}"="DCOM Server 2234"

Fisiere host Fisierul

– In acest caz inregistrarile existente raman nemodificate.

– Accesul la urmatoarele domenii este blocat:
   • www.trendmicro.com; rads.mcafee.com; customer.symantec.com;
      liveupdate.symantec.com; us.mcafee.com; updates.symantec.com;
      www.nai.com; secure.nai.com; dispatch.mcafee.com; download.mcafee.com;
      www.my-etrust.com; mast.mcafee.com; ca.com; www.ca.com;
      networkassociates.com; www.networkassociates.com; avp.com;
      www.kaspersky.com; www.avp.com; downloads4.kaspersky-labs.com;
      downloads3.kaspersky-labs.com; downloads2.kaspersky-labs.com;
      downloads1.kaspersky-labs.com; www.f-secure.com; viruslist.com;
      www.viruslist.com; liveupdate.symantecliveupdate.com; www.mcafee.com;
      sophos.com; www.sophos.com; securityresponse.symantec.com;
      www.symantec.com

Fisierul hosts modificat va arata astfel:

Backdoor Servere contactate:

• 208.66.195.**********:2234

Astfel se pot transmite informatii. Raspunsul serverului este scris in fisierul: %home%\Application Data\Microsoft\2234.dat

Trimte informatii despre:
• Informatii despre sistemul de operare

Alte informatii Cauta o conexiune Internet, contactand urmatoarele site-uri web:
   • aol.com
   • verizon.net
   • ameritech.net
   • cox.net
   • rr.com
   • adelphia.net
   • comcast.net
   • optonline.net

Mutex:
Creeaza urmatorul mutex:
   • hs5pdllv42234

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
• UPX

Pentru o descriere scurta click aici.

Descriere introdusa de Marius T. Nicolae la Tue, 08 Aug 2006 09:48 (GMT+1)
Descriere actualizata de Marius T. Nicolae la Thu, 17 Aug 2006 10:12 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back