Nume:BDS/Agent.ahj.701
Descoperit pe data de:28/06/2007
Tip:Backdoor Server
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:20.847 Bytes
MD5:571f05c12e0d7489cc10fffab06ccfbd
Versiune VDF:6.39.00.125
Versiune IVDF:6.39.00.127 - Tuesday, July 10, 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Backdoor.Win32.Agent.ahj
   •  F-Secure: Backdoor.Win32.Agent.ahj
   •  Grisoft: Agent.BTX


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza un fisier malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\%sir de 8 caractere aleatoare%.EXE



Sunt create fisierele:

– %SYSDIR%\%sir de 8 caractere aleatoare%.DLL Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Agent.14420

– %SYSDIR%\delmep.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\ControlSet001\Services\
   %sir de 8 caractere aleatoare%]
   • DisplayName="%sir de 8 caractere aleatoare%"
   • ErrorControl=dword:00000001
   • ImagePath="%SYSDIR%\%sir de 8 caractere aleatoare%.EXE -d"
   • ObjectName="LocalSystem"
   • Start=dword:00000002
   • Type=dword:00000010

– [HKCU\SYSTEM\CurrentControlSet\Services\
   %sir de 8 caractere aleatoare%]
   • Description="%sir de 8 caractere aleatoare%"
   • DisplayName="%sir de 8 caractere aleatoare%"
   • ImagePath="%SYSDIR%\%sir de 8 caractere aleatoare%.EXE -d"
   • ObjectName="LocalSystem"

 Backdoor Servere contactate:

   • http://down.hunll.com/popwin/**********

Astfel se obtine control la distanta. Raspunsul serverului este scris in fisierul: %SYSDIR%\usdsddse.web


Posibilitati de control la distanta:
    • descarcare fisier
    • Vizitarea unui website

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %sir de 8 caractere aleatoare%.dll

    Unul din urmatoarele procese:
   • explorer.exe
   • winlogon.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Ernest Szocs on Monday, July 2, 2007
Description updated by Andrei Gherman on Monday, July 16, 2007

Back . . . .