Name:TR/Agent.AGNY
Entdeckt am:24/01/2008
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:205.449 Bytes
MD5 Prüfsumme:0A834d4813f7b44024b2e68d20957aee
IVDF Version:7.00.02.41 - Donnerstag, 24. Januar 2008

 General Verbreitungsmethode:
   • Gemappte Netzlaufwerke


Aliases:
   •  Mcafee: W32/Autorun.worm.g
   •  Kaspersky: Trojan-Downloader.Win32.Agent.hzy
   •  F-Secure: Trojan-Downloader.Win32.Agent.hzy
   •  Eset: Win32/AutoRun.HL
   •  Bitdefender: Trojan.Agent.AGNY


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Setzt Sicherheitseinstellungen herunter

 Dateien Kopien seiner selbst werden hier erzeugt:
   • c:\windows\system\lsass.exe
   • %Papierkorb%\Recycler\AutoLaunch.exe
   • %TEMPDIR%\services.exe



Es wird folgendes Verzeichnis erstellt:
   • %TEMPDIR%\WinSecurityUpd



Es werden folgende Dateien erstellt:

– drive:\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%TEMPDIR%\WinSecurityUpd\ms_auto Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%TEMPDIR%\WinSecurityUpd\ms_drvlst Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • ABCDEFGHIJKLMNOPQRSTUVWXYZ

%TEMPDIR%\WinSecurityUpd\udpate~1.tmp Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • file

%TEMPDIR%\csrss.bat Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %TEMPDIR%\csrss.bat

%TEMPDIR%\ltmpp.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.
%TEMPDIR%\lsassexe.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.



Es versucht folgende Dateien auszuführen:

– Dateiname:
   • %SYSDIR%\netsh.exe
unter Zuhilfenahme folgender Kommandozeilen-Parameter: firewall set opmode disable


– Dateiname:
   • %SYSDIR%\cmd.exe
unter Zuhilfenahme folgender Kommandozeilen-Parameter: /c if exist %TEMPDIR%\csrss.bat call %TEMPDIR%\csrss.bat


– Dateiname:
   • %SYSDIR%\ping.exe
unter Zuhilfenahme folgender Kommandozeilen-Parameter: google.com > %TEMPDIR%\ping2.log

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Andrei Gherman am Donnerstag, 19. Juni 2008
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 19. Juni 2008

zurück . . . .