Имя:TR/Spy.ProAg.21.3.A
Обнаружен:19/09/2005
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:246.349 байт.
Контрольная сумма MD5:85fa8947452cfcc3da30d54f888fbf10
Версия VDF:6.32.00.16

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan-Spy.Win32.ProAgent.21
   •  Sophos: Troj/Progent-P
   •  Grisoft: PSW.Agent.NR
   •  VirusBuster: trojan TrojanSpy.ProAgent.I
   •  Bitdefender: Trojan.Spy.Proagent.21


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отключение приложений безопасности
   • Создает файлы
   • Создает вредоносные файлы
   • Использует собственный почтовый движок
   • Снижает уровень настроек безопасности
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Похищает информацию


После запуска выдается следующая информация:


 Файлы Создается собственная копия:
   • %WINDIR%\qservice.exe



Файл будет переписан.
%SYSDIR%\drivers\symredrv.sys

Со следующим содержимым:
   • No more Mail Scanning =)
     Powered by ProAgent




Создаются следующие файлы:

– Незараженный файл:
   • %TEMPDIR%\htmpl.htm

– Файлы предназначены для временного использования и могут быть удалены.
   • %SYSDIR%\agnt_mps.exe
   • %SYSDIR%\agnt_fps.exe
   • %SYSDIR%\agnt_msn.exe
   • %SYSDIR%\agnt_pnc.exe
   • %SYSDIR%\agnt_mps.dat
   • %SYSDIR%\agnt_fps.dat
   • %SYSDIR%\agnt_msn.dat
   • %SYSDIR%\_pnc.dat

%SYSDIR%\drivers\KeenSense.sys Файл является безвредным текстовым файлом со следующим содержимым:
   • Hi criminal =)

%SYSDIR%\drivers\ksdevice.sys Файл является безвредным текстовым файлом со следующим содержимым:
   • Hi criminal =)

%WINDIR%\kurlmon.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Spy.ProAgent.21.1

%WINDIR%\services.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Spy.ProAgent.21.2

%SYSDIR%\HookApi.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Spy.ProAgent.21

%WINDIR%\k_urlmon.dll Файл содержит строки введенных с клавиатуры символов

 Реестр Добавляется ключ реестра (бесконечный цикл) для повторного запуска процесса после перезагрузки системы.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "qservices"="%WINDIR%\qservice.exe"



Добавляется следующий ключ реестра:

– [HKCU\Software\Microsoft\Windows]
   • "qservices" = "qservices"
   • "pVer" = dword:%Шестнадцатиричное число%
   • "pPid" = dword:%Шестнадцатиричное число%

 Email Не имеет собственной процедуры размножения. Занимается рассылкой электронных писем. Адресат может оказаться отправителем. Подробности приведены ниже:


От:
Отправитель письма:
   • "ProAgent v2.1.0" <ProAgent@Yahoo.com>


Кому:
Получателем письма является:
   • maturpejos@yahoo.com


Тема:
Следующее:
   • %Имя компьютера% is Online



Тело:
Тело письма имеет следующий вид:
   • %похищенная информация%

 Завершение процесса  Список завершаемых служб:
   • Norton AntiVirus Auto-Protect Service
   • Kaspersky AntiVirus
   • McAfee Shield
   • System Restore Service

 Кража Попытка кражи следующей информации:
– Windows Produkt ID
– Введенные в поле пароля символы
– Информация об учетной записи электронной почты из реестра: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– CD ключи:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White; Call
      Of Duty; Command & Conquer Generals; Command and Conquer: Generals
      (Zero Hour); Command and Conquer: Red Alert 2; Command and Conquer:
      Tiberian Sun; Counter-Strike (Retail); Chrome; FarCry; FIFA 2002; FIFA
      2003; FIFA 2004; FIFA 2005; Freedom Force; Global Operations; Gunman
      Chronicles; Half-Life; Hidden & Dangerous 2; IGI 2: Covert Strike;
      Industry Giant 2; James Bond 007: Nightfire; Legends of Might and
      Magic; Medal of Honor: Allied Assault; Medal of Honor: Allied Assault:
      Breakthrough; Medal of Honor: Allied Assault: Spearhead; Nascar Racing
      2002; Nascar Racing 2003; Nascar Racing 2004; Nascar Racing 2005; Need
      For Speed: Underground; Need For Speed: Hot Pursuit 2; NBA Live 2003;
      NBA Live 2004; NBA Live 2005; NHL 2003; NHL 2004; NHL 2005; NHL 2002;
      NOX; NOX2; Quake III Arena; Rainbow Six III RavenShield; Shogun: Total
      War: Warlord Edition; Soldiers Of Anarchy; The Gladiators; The Sims;
      The Sims Deluxe; The Sims Hot Date; The Sims House Party; The Sims
      Livin' Large; The Sims Superstar; The Sims Unleashed; The Sims
      Vacation; Unreal Tournament 2003; Unreal Tournament 2004; Unreal
      Tournament 2005; GetBackData NTFS

– Пароли следующих программ:
   • Cute FTP
   • Flash FXP
   • WS_FTP
   • Filezilla
   • Peer FTP
   • Exeem
   • Sendlink
   • Chat Anywhere
   • FTP Now
   • Deluxe FTP
   • Morpheus
   • Bitcomet
   • Firefly
   • MSN Messenger
   • Windows Messenger
   • Yahoo Messenger
   • ICQ
   • AOL Instant Messenger
   • Trillian
   • Miranda
   • GAIM
   • Outlook Express
   • Microsoft Outlook
   • IncrediMail
   • Eudora
   • Netscape
   • Mozilla Thunderbird
   • Group Mail Free
   • Yahoo! Mail
   • Hotmail/MSN
   • Gmail

– Протоколируется:
    • Нажатие клавиш
    • Информация об окне

 Инфицирование –  Следующий файл вставляется в процесс: kurlmon.dll

    Имя процесса:
   • explorer.exe



–  Следующий файл вставляется в процесс: HookApi.dll

    Имя процесса:
   • explorer.exe



–  Следующий файл вставляется в процесс: services.dll

    Имя процесса:
   • iexplore.exe


 Разное Интернет соединение:
Для проверки доступного Интернет соединения устанавливаются контакты со следующими DNS серверами:
   • ege.edu.tr
   • ankara.edu.tr


Связывается со следующим веб-сайтом для проверки установленного Интернет-соединения:
   • www.aol.com


Строка:
Здесь содержится следующая последовательность:
   • [ProAgent Trojan Horse -- Coded by SIS-Team - Made in Turkey]

 Технология Rootkit Эта технология описывает определенный вид потенциально опасных программ. ПО скрывает свое присутствие от системных программ, программ обеспечения безопасности и от самого пользователя.


Скрывает следующее:
– Собственные файлы
– Собственные процессы
– Собственные ключи реестра

– Следующий файл:
   • msehk.dll

– Файлы со следующей последовательностью символов в именах:
   • wins32

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Daniel Constantin в(о) вторник, 11 апреля 2006 г.
Описание обновил Daniel Constantin в(о) среда, 12 апреля 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.