Troj/Agent.AMAL

Agent.AMAL es un troyano reportado el 17 de Abril del 2008 que se propaga a través de correo MultiSPAM o visitando sitios web infectados. 

Se registra como un Objeto de Ayuda del Navegador, abre una ventana oculta del Internet Explorer, se conecta a la web e intenta descargar un malware desde un URL.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003, está desarrollado en Visual C++, con una extensión de 63.5KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Al ingresar a un sistema se copia a la carpeta %System% con el nombre de acrobat.dll y para ejecutarse la próxima vez que se re-inicie el equipo crea las siguientes llaves de registro:

[HKEY_CLASSES_ROOT\CLSID\{BD942DA7-96C8-4342-84C6-E2BCFE69FE11}\InprocServer32]
"Default" = "%System%\acrobat.dll" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Acrobat ActiveX Control" = "Rundll32 acrobat.dll,AInit"

El troyano se registra así mismo como un Browser Helper Object (BHO), para activarse automáticamente cada vez que se ejecute el Internet Explorer y para lo cual crea la llave: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{BD942DA7-96C8-4342-84C6-E2BCFE69FE11}]
NoExplorer = "1"

y como parte de su rutina de activación crea la sub-llave:

[HKEY_LOCAL_MACHINE\Software\Acrobat]
1 = "[censurado].[censurado].251.118" 
2 = "50" 
3 = "/NNN/parse.php" 

Al siguiente inicio del equipo el troyano abre una ventana oculta del Internet Explorer, se conecta a la web e intenta descargar un malware desde la siguiente dirección URL:

http://[censurado].[censurado].251.118/NNN/parse.php?mod=cmd&user=WIN2KB_Administrator 

PER ANTIVIRUS® versiones X4 y X5 con registro de virus al 17 de Abril del 2008 detecta y elimina eficientemente este troyano.