Nume:TR/Dldr.Agent.amzp
Descoperit pe data de:31/10/2008
Tip:Troian
Subtip:Downloader
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:77.828 Bytes
MD5:20edfd7563e866c1c149fca2b03ec634
Versiune IVDF:7.01.00.23 - Freitag, 31. Oktober 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Trojan.Fakeavalert.B
   •  Mcafee: Downloader-BKM trojan
   •  Kaspersky: Trojan-Downloader.Win32.Agent.amzp
   •  F-Secure: Trojan-Downloader.Win32.Agent.amzp
   •  Eset: Win32/TrojanDownloader.FakeAlert.OY trojan


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Modificari in registri

 Fisiere Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://193.142.244.55/**********/item_g.gif
Fisierul este stocat pe hard disc la: %TEMPDIR%\~tmpa.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/BHO.hfq


– Adresa este urmatoarea:
   • http://193.142.244.20/**********/216-1.exe
Fisierul este stocat pe hard disc la: %TEMPDIR%\~tmpc.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.ULPM.Gen


– Adresa este urmatoarea:
   • http://bigimagecatalogue.com/**********/chagall.gif
Fisierul este stocat pe hard disc la: %TEMPDIR%\~tmpd.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Agent.87552.F

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "MSFox"="%fisier executat%"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Mozilla\MSFox]
   • "Str5"="%combinatie de caractere aleatoare%"
   • "Str9"="%combinatie de caractere aleatoare%"
   • "Str6"="%combinatie de caractere aleatoare%"
   • "Str7"="%combinatie de caractere aleatoare%"
   • "Str8"="%combinatie de caractere aleatoare%"
   • "Str4"="%combinatie de caractere aleatoare%"
   • "Str1"="%combinatie de caractere aleatoare%"
   • "Int2"=dword:%numar hexazecimal%
   • "Int3"=dword:%numar hexazecimal%

– [HKLM\Software\Microsoft\RFC1156Agent\CurrentVersion\Parameters]
   • "TrapPollTimeMilliSecs"=dword:%numar hexazecimal%

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Die Beschreibung wurde erstellt von Andreas Feuerstein am Freitag, 14. November 2008
Die Beschreibung wurde geändert von Andreas Feuerstein am Freitag, 14. November 2008

zurück . . . .