Troj/Agentbyp.AL

AGENTBYP.AL troyano de MultiSPAM y HTTP roba información crítica de sistema la envía por correo a intruso, etc.

Troj/Agentbyp.AL

Agentbyp.AL es un troyano reportado el 27 de Noviembre del 2007 que se propaga a través de mensajes de correo MultiSPAM o enviado por cualquier otro servicio de Internet.

El mensaje tiene un enlace hacia un URL en Internet que contiene un documento RTF, el mismo que oculta un archivo .EXE infectado. Al ejecutarse muestra una falsa pantalla simulando pertenecer a Adobe Reader.

Extrae información crítica del sistema y la envia a una dirección de correo cifrada, perteneciente al autor del troyano.

Infecta a Windows 98/Me/2000/XP y Server 2003, está esarrollado en Assembler con una extensión de 6.5KB y no está encriptado.

Al activarse se copia a:

%User Profile%\Local Settings\Temp\msie.exe (copia del troyano)
%Windir%\sflash.dll (componente del troyano)
%User Profile%\Local Settings\Temp\msie.dat (archivo inocuo de almacenamiento)

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Equivale a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/NT/XP

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente inicio del equipo, para engañar al usuario, el gusano muestra la siguiente pantalla:

Después de ser activado extrae información crítica del sistema y la almacena en el archivo msie.dat, para luego enviarla a una dirección cifrada de correo, perteneciente al autor del troyano.

Ejecutadas estas acciones, el gusano termina su proceso.

PER ANTIVIRUS® versión 10.3 con registro de virus al 27 de Noviembre del 2007 detecta y elimina este troyano.