Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/Agent.AGNY
Descoperit pe data de:24/01/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:205.449 Bytes
MD5:0A834d4813f7b44024b2e68d20957aee
Versiune IVDF:7.00.02.41 - joi, 24 ianuarie 2008

 General Metoda de raspandire:
   • Discuri de retea mapate


Alias:
   •  Mcafee: W32/Autorun.worm.g
   •  Kaspersky: Trojan-Downloader.Win32.Agent.hzy
   •  F-Secure: Trojan-Downloader.Win32.Agent.hzy
   •  Eset: Win32/AutoRun.HL
   •  Bitdefender: Trojan.Agent.AGNY


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Reduce setarile de securitate

 Fisiere Se copiaza in urmatoarele locatii:
   • c:\windows\system\lsass.exe
   • %recycle bin%\Recycler\AutoLaunch.exe
   • %TEMPDIR%\services.exe



Creeaza urmatorul director:
   • %TEMPDIR%\WinSecurityUpd



Sunt create fisierele:

– drive:\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%TEMPDIR%\WinSecurityUpd\ms_auto Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%TEMPDIR%\WinSecurityUpd\ms_drvlst Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • ABCDEFGHIJKLMNOPQRSTUVWXYZ

%TEMPDIR%\WinSecurityUpd\udpate~1.tmp Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • file

%TEMPDIR%\csrss.bat Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %TEMPDIR%\csrss.bat

%TEMPDIR%\ltmpp.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.
%TEMPDIR%\lsassexe.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.



Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • %SYSDIR%\netsh.exe
cu urmatorii parametri: firewall set opmode disable


– Numele fisierului:
   • %SYSDIR%\cmd.exe
cu urmatorii parametri: /c if exist %TEMPDIR%\csrss.bat call %TEMPDIR%\csrss.bat


– Numele fisierului:
   • %SYSDIR%\ping.exe
cu urmatorii parametri: google.com > %TEMPDIR%\ping2.log

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description inserted by Andrei Gherman on Thursday, June 19, 2008
Description updated by Andrei Gherman on Thursday, June 19, 2008

Back . . . .