Nume:TR/Dldr.Agent.bky
Descoperit pe data de:31/03/2007
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:13.312 Bytes
MD5:e9100Ce97a5b4fbd8857b25ffe2d7179
Versiune VDF:6.38.00.149
Versiune IVDF:6.38.00.152 - Saturday, March 31, 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: W32/Fujacks.ah
   •  Kaspersky: Worm.Win32.Fujack.ar
   •  F-Secure: Worm.Win32.Fujack.ar
   •  Panda: W32/DiskInfector.A.worm
   •  Grisoft: Downloader.Agent.KCA
   •  VirusBuster: Worm.OnlineGames.SD
   •  Eset: Win32/Fubalca.A
   •  Bitdefender: Win32.Worm.Tunga.B


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Acceseaza discheta
   • Descarca fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\sysload3.exe
   • %SYSDIR%\tempload.exe
   • %SYSDIR%\tempIcon.exe
   • A:\tool.exe



Urmatoarelor fisiere le sunt adaugate sectiuni:
– Catre: %toate directoarele%\*.HTML Cu urmatorul continut:
   • script src=http://macr.microfsot.com/********** /script

– Catre: %toate directoarele%\*.ASPX Cu urmatorul continut:
   • script src=http://macr.microfsot.com/********** /script

– Catre: %toate directoarele%\*.PHP Cu urmatorul continut:
   • script src=http://macr.microfsot.com/********** /script

– Catre: %toate directoarele%\*.JSP Cu urmatorul continut:
   • script src=http://macr.microfsot.com/********** /script

– Catre: %toate directoarele%\*.ASP Cu urmatorul continut:
   • script src=http://macr.microfsot.com/********** /script




Este creat fisierul:

– A:\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://a.2007ip.com/**********
Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • System Boot Check="%SYSDIR%\sysload3.exe"

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Urmatoarele procese:
   • notepad.exe
   • IEXPLORE.EXE


 Alte informatii Mutex:
Creeaza urmatorii mutecsi:
   • MySignal
   • MyInfect
   • MyDownload


Sir de caractere:
In plus, mai contine urmatorul sir de caractere:
   • I will by one BMW this year!

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Ana Maria Niculescu on Thursday, November 8, 2007
Description updated by Andrei Gherman on Friday, November 9, 2007

Back . . . .