Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Agent.AII realiza las siguientes acciones:
- Registra las pulsaciones de teclado que el usuario realiza cuando visita una página web cuya dirección contiene alguna de las siguientes cadenas de texto:
1MDC
e-bullion
e-gold
GoldMoney
http://pleskin.com.ua/part3.config
https://www.e-gold.com/acct/accountinfo.asp
https://www.e-gold.com/acct/acct.asp
https://www.e-gold.com/acct/balance.asp
intgold
NetPad
paymer
Pecunix
pleskin.com.ua
Virtualgold - De esta forma, Agent.AII obtiene contraseñas y otra información sensible relacionada con la cuenta del usuario en dichos sitios web.
Metodo de Infección
Agent.AII crea los siguientes archivos en el directorio de sistema de Windows:
- WINSERVER.EXE. Este archivo es una copia del troyano.
- WINSERV.DLL y WINSERV32.DLL. Estos archivos son DLLs (Librería de Enlace Dinámico) que registran las pulsaciones de teclado.
- WINSERV.INI. Este archivo contiene datos encriptados.
- WINSERV.DAT, que es un archivo de datos.
Estos archivos permanecen ocultos mientras Agent.AII se encuentre residente en memoria.
Agent.AII crea las siguientes entradas en el Registro de Windows:
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
win32 internet server = %sysdir%\ winserver.exe - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
win32 internet server = %sysdir%\ winserver.exe - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunServices
win32 internet server = %sysdir%\ winserver.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante estas entradas, Agent.AII consigue ejecutarse siempre que Windows se inicia.
Método de Propagación
Agent.AII es descargado en el ordenador por otro troyano, detectado como Downloader.EJD.
Otros Detalles
Agent.AII está escrito en el lenguaje de programación Visual C++. Este troyano tiene un tamaño de 36969 Bytes, y está comprimido mediante FSG.
>