Active Scan. Analiza Gratis tu PC
Panda Global Protection 2011

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Agent.B

PeligrosidadPeligrosidad mediaDañoDañinoPropagaciónPoco extendido

Efectos 

Agent.B realiza las siguientes acciones:

  • Se coloca residente en memoria.
  • Captura las pulsaciones de teclado introducidas por el usuario en formularios o páginas web que contienen ciertas palabras clave, y que pertenecen mayoritariamente a entidades financieras:

    1mdc, 1MDC, ANZ, Banesto, Bank of America, bank of montreal, Bank of Montreal, Bank One, Bank West, bankwest, BankWest, bendigo, Bendigo, Bmo, BMO, CAIXA, cibc, CIBC, Citibank, commbank, Commonwealth, Chase, Desjardins, Discover Card, e-bendigo, e-Bendigo, e-bullion, e-Bullion, e-gold, evocash, EVOCash, EVOcash, goldgrams, goldmoney, GoldMoney, hyperwallet, HyperWallet, intgold, INTGold, INTgold, macquiarie, National Internet Banking, NetBank, paypal, PayPal, Pecun!x, pecunix, Pecunix, president´s choice, President´s Choice, Royal Bank, royalbank, RoyalBank, Scotia Bank, Scotiabank, ScotiaBank, Sun Trust, Suncorp, suncorpmetway, SunTrust, TD Canada Trust, TD Waterhouse, TD Waterhouse, tdwaterhouse, Wachovia, Washington Mutual, Wells Fargo y Westpac.
  • Envía el fichero donde se guardan las pulsaciones de teclado a la siguiente dirección, empleando el correo electrónico: pentasatan@mail.ru 

Metodo de Infección 

Agent.B crea los siguientes ficheros:

  • JAVAUTIL.EXE en el directorio de Windows. Este fichero es una copia del troyano. Se coloca residente en memoria y envía las pulsaciones de teclado capturadas a su autor a través del correo electrónico.
  • HOOKERDLL.DLL. Este fichero es una DLL (Librería de Enlace Dinámico), que captura las pulsaciones de teclado introducidas por el usuario en formularios o páginas web que contienen determinadas palabras clave.
  • KGN.TXT en el directorio de Windows. Este fichero temporal contiene la información registrada, y es borrado una vez ha sido enviado por correo electrónico.
    El mensaje enviado al autor contiene el asunto Keylog from %hostname%, donde %hostname% es el nombre del ordenador.

Agent.B crea la siguiente entrada en el Registro de Windows:

  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    OLE = %windir%\ javautil.exe
    donde %windir% es el directorio de Windows.
    Mediante esta entrada, Agent.B se asegura de que es ejecutado cada vez que Windows se inicia.

Método de Propagación 

Agent.B ha sido enviado de forma masiva en un mensaje de correo electrónico que contiene un fichero adjunto, o un enlace que aprovecha una vulnerabilidad de Internet Explorer conocida como URLSpoof.

Uno de los mensajes usados más frecuentemente tiene las siguientes características:

  • Asunto:
    Police investigation
  • Contenido:
    Hello...

    It has come to my attention that you are being under the police investigation.
    Is that true? Have you really commited such crimes?

    Please read the following article located at:

    http://federalpolice.com:article872@1075686747

    or at:

    http://0100.035.0255.0133

    Sincerely,
    Your old friend

Otros Detalles  

Agent.B tiene un tamaño de 4736 Bytes y se encuentra comprimido mediante FSG.
Soporte técnico
Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info