Name:BDS/Agent.ahj.701
Entdeckt am:28/06/2007
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:20.847 Bytes
MD5 Prüfsumme:571f05c12e0d7489cc10fffab06ccfbd
VDF Version:6.39.00.125
IVDF Version:6.39.00.127 - Dienstag, 10. Juli 2007

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Backdoor.Win32.Agent.ahj
   •  F-Secure: Backdoor.Win32.Agent.ahj
   •  Grisoft: Agent.BTX


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\%achtstellige zufällige Buchstabenkombination%.EXE



Es werden folgende Dateien erstellt:

%SYSDIR%\%achtstellige zufällige Buchstabenkombination%.DLL Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Agent.14420

%SYSDIR%\delmep.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\ControlSet001\Services\
   %achtstellige zufällige Buchstabenkombination%]
   • DisplayName="%achtstellige zufällige Buchstabenkombination%"
   • ErrorControl=dword:00000001
   • ImagePath="%SYSDIR%\%achtstellige zufällige Buchstabenkombination%.EXE -d"
   • ObjectName="LocalSystem"
   • Start=dword:00000002
   • Type=dword:00000010

– [HKCU\SYSTEM\CurrentControlSet\Services\
   %achtstellige zufällige Buchstabenkombination%]
   • Description="%achtstellige zufällige Buchstabenkombination%"
   • DisplayName="%achtstellige zufällige Buchstabenkombination%"
   • ImagePath="%SYSDIR%\%achtstellige zufällige Buchstabenkombination%.EXE -d"
   • ObjectName="LocalSystem"

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://down.hunll.com/popwin/**********

Hierdurch werden Hintertürfunktionen bereitgestellt. Die Antwort der Servers wird in folgende Datei geschrieben: %SYSDIR%\usdsddse.web


Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Besuch einer Webseite

 Injektion –  Es injiziert folgende Datei in einen Prozess: %achtstellige zufällige Buchstabenkombination%.dll

    Einer der folgenden Prozesse:
   • explorer.exe
   • winlogon.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Ernest Szocs am Montag, 2. Juli 2007
Die Beschreibung wurde geändert von Andrei Gherman am Montag, 16. Juli 2007

zurück . . . .