Name:TR/Agent.baf.1
Entdeckt am:12/07/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:79.360 Bytes
MD5 Prüfsumme:cd66ab672f46da1a09c0e7516b53f191
VDF Version:6.35.00.154
IVDF Version:6.35.00.193 - Donnerstag, 20. Juli 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: CoreFlood.dr
   •  Kaspersky: Backdoor.Win32.Afcore.cr
   •  TrendMicro: BKDR_AFCORE.AD
   •  F-Secure: Backdoor.Win32.Afcore.cr
   •  Eset: Win32/Afcore


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Es werden folgende Dateien erstellt:

%TEMPDIR%\%zufällige Buchstabenkombination%.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Agent.baf.3

%SYSDIR%\%zufällige Buchstabenkombination%.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Agent.baf.3

%SYSDIR%\%zufällige Buchstabenkombination%.dat
%SYSDIR%\%zufällige Buchstabenkombination%.dat
%SYSDIR%\%zufällige Buchstabenkombination%.dat
%SYSDIR%\%zufällige Buchstabenkombination%.dat
%SYSDIR%\%zufällige Buchstabenkombination%.dat

 Registry  Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • HKLM\Software\Classes\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}\InprocServer32
   • HKLM\Software\Classes\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}
   • HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\Offline Files



Folgende Registryschlüssel werden hinzugefügt:

– HKLM\SOFTWARE\Classes\CLSID\{%generierter CLSID%}
   • "(default)"="%zufällige Buchstabenkombination%"

– HKLM\SOFTWARE\Classes\CLSID\{%generierter CLSID%}\
   InprocServer32
   • "(default)"="%SYSDIR%\%zufällige Buchstabenkombination%.dll"
   • "ThreadingModel"="Apartment"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellIconOverlayIdentifiers\iepeets
   • "(default)"="{%generierter CLSID%}"

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://joy4host.com**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels der HTTP POST Methode unter Verwendung eines CGI Scripts.


Sende Informationen über:
    • Aktueller Malware Status
    • Arbeitszeit der Malware
    • Information über das Windows Betriebsystem

 Diverses Mutex:
Es werden folgende Mutexe erzeugt:
   • %systemabhängig%
   • %systemabhängig%

Die Beschreibung wurde erstellt von Teodor Onisor am Dienstag, 5. September 2006
Die Beschreibung wurde geändert von Teodor Onisor am Mittwoch, 13. September 2006

zurück . . . .