Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/Agent.8704.24
Descoperit pe data de:02/12/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut
Fisier static:Da
Marime:8.704 Bytes
MD5:31ddc2ae38061b3b03571fd7f28ab788
Versiune IVDF:7.01.00.176 - marți, 2 decembrie 2008

 General Alias:
   •  Sophos: Troj/Drop-AD
   •  Grisoft: SHeur.CRFI


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
    Acceseaza discheta
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\afido.exe
   • %unitate disc%\afido.exe



Creeaza urmatorul director:
   • %TEMPDIR%\%combinatie de caractere aleatoare%.tmp



Sterge urmatorul fisier:
   • %unitate disc%\Autorun.inf



Sunt create fisierele:

%TEMPDIR%\%combinatie de caractere aleatoare%\b2e.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware.
%TEMPDIR%\%combinatie de caractere aleatoare%\batfile.bat



Incearca sa execute urmatoarele fisiere:

Numele fisierului:
   • %TEMPDIR%\%combinatie de caractere aleatoare%\b2e.exe
Fisierul contine cod malware.

Numele fisierului:
   • %TEMPDIR%\%combinatie de caractere aleatoare%\batfile.bat

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "opesys"="%SYSDIR%\afido.exe"



Se adauga in registrii sistemului:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\
   Autorun.inf]
   • @="@SYS:DoesNotExist"

 Detaliile fisierului Limbaj de programare:
Aces program malware a fost scris n limbaj de asamblare.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description inserted by Petre Galan on Tuesday, July 7, 2009
Description updated by Petre Galan on Monday, August 17, 2009

Back . . . .