Nume:TR/Agent.baf.1
Descoperit pe data de:12/07/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:79.360 Bytes
MD5:cd66ab672f46da1a09c0e7516b53f191
Versiune VDF:6.35.00.154
Versiune IVDF:6.35.00.193 - Donnerstag, 20. Juli 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: CoreFlood.dr
   •  Kaspersky: Backdoor.Win32.Afcore.cr
   •  TrendMicro: BKDR_AFCORE.AD
   •  F-Secure: Backdoor.Win32.Afcore.cr
   •  Eset: Win32/Afcore


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Sunt create fisierele:

– %TEMPDIR%\%combinatie de caractere aleatoare%.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Agent.baf.3

– %SYSDIR%\%combinatie de caractere aleatoare%.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Agent.baf.3

– %SYSDIR%\%combinatie de caractere aleatoare%.dat
– %SYSDIR%\%combinatie de caractere aleatoare%.dat
– %SYSDIR%\%combinatie de caractere aleatoare%.dat
– %SYSDIR%\%combinatie de caractere aleatoare%.dat
– %SYSDIR%\%combinatie de caractere aleatoare%.dat

 Registrii sistemului  Se sterg urmatoarele chei din registri, inclusiv toate valorile si cheile subordnate:
   • HKLM\Software\Classes\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}\InprocServer32
   • HKLM\Software\Classes\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}
   • HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\Offline Files



Urmatoarele chei sunt adaugate in registrii sistemului:

– HKLM\SOFTWARE\Classes\CLSID\{%CLSID generate%}
   • "(default)"="%combinatie de caractere aleatoare%"

– HKLM\SOFTWARE\Classes\CLSID\{%CLSID generate%}\
   InprocServer32
   • "(default)"="%SYSDIR%\%combinatie de caractere aleatoare%.dll"
   • "ThreadingModel"="Apartment"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellIconOverlayIdentifiers\iepeets
   • "(default)"="{%CLSID generate%}"

 Backdoor Servere contactate:

   • http://joy4host.com**********

Astfel se pot transmite informatii si se poate obtine control la distanta. Aceasta se face prin metoda HTTP POST, folosind un script CGI.


Trimte informatii despre:
    • Statusul actual al malware-ului
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre sistemul de operare

 Alte informatii Mutex:
Creeaza urmatorii mutecsi:
   • %dependent de sistem%
   • %dependent de sistem%

Die Beschreibung wurde erstellt von Teodor Onisor am Dienstag, 5. September 2006
Die Beschreibung wurde geändert von Teodor Onisor am Mittwoch, 13. September 2006

zurück . . . .