Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:BDS/Agent.blcr
Descoperit pe data de:07/07/2011
Tip:Backdoor Server
ITW:Nu
Numar infectii raportate:Mediu
Potential de raspandire:Scazut
Potential de distrugere:Scazut
Fisier static:Da
Marime:185.440 Bytes
MD5:38754b086fa45391ddecaa8e7d9a1c0d
Versiune VDF:7.11.11.27 - joi, 7 iulie 2011
Versiune IVDF:7.11.11.27 - joi, 7 iulie 2011

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Backdoor.Win32.Agent.blcr
   •  Eset: Win32/Adware.GabPath.CD


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efecte secundare:
   • Descarca fisiere malware
   • Modificari in registri

 Fisiere  Sterge urmatorul fisier:
   • %TEMPDIR%\MNUpdater.prod.v5706.10072011.exe.5ba56657ad8aa8507be65fffc1395acf



Este creat fisierul:

%TEMPDIR%\Update.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: ADWARE/Agent.Gaba.gew




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://216.**********.153/gpupd.php?VER=**********&mac=DEFAULT


– Adresa este urmatoarea:
   • http://clients.mi**********ral.com/mnup.php?HWID=**********
In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

– Adresa este urmatoarea:
   • http://clients.mi**********ral.com/**********MNUpdater.prod.v5**********072011.exe.5ba5**********5acf
Fisierul este stocat pe hard disc la: %TEMPDIR%\MNUpdater.prod.v5706.10072011.exe.5ba56657ad8aa8507be65fffc1395acf Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: ADWARE/Agent.Gaba.gew

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "updchecker"="%directorul de activare malware%\\%malware exe%.exe"

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Jason Soo on Monday, July 11, 2011
Description updated by Jason Soo on Monday, July 11, 2011

Back . . . .