Nombre:TR/Agent.baf.1
Descubierto:12/07/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:79.360 Bytes
Suma de control MD5:cd66ab672f46da1a09c0e7516b53f191
Versión del VDF:6.35.00.154
Versión del IVDF:6.35.00.193 - jueves 20 de julio de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: CoreFlood.dr
   •  Kaspersky: Backdoor.Win32.Afcore.cr
   •  TrendMicro: BKDR_AFCORE.AD
   •  F-Secure: Backdoor.Win32.Afcore.cr
   •  Eset: Win32/Afcore


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero dañino
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Crea los siguientes ficheros:

%TEMPDIR%\%serie de caracteres aleatorios%.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Agent.baf.3

%SYSDIR%\%serie de caracteres aleatorios%.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Agent.baf.3

%SYSDIR%\%serie de caracteres aleatorios%.dat
%SYSDIR%\%serie de caracteres aleatorios%.dat
%SYSDIR%\%serie de caracteres aleatorios%.dat
%SYSDIR%\%serie de caracteres aleatorios%.dat
%SYSDIR%\%serie de caracteres aleatorios%.dat

 Registro  Elimina las siguientes claves del registro, incluyendo todos sus valores y subclaves:
   • HKLM\Software\Classes\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}\InprocServer32
   • HKLM\Software\Classes\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}
   • HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\Offline Files



Añade las siguientes claves al registro:

– HKLM\SOFTWARE\Classes\CLSID\{%CLSID generados%}
   • "(default)"="%serie de caracteres aleatorios%"

– HKLM\SOFTWARE\Classes\CLSID\{%CLSID generados%}\
   InprocServer32
   • "(default)"="%SYSDIR%\%serie de caracteres aleatorios%.dll"
   • "ThreadingModel"="Apartment"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellIconOverlayIdentifiers\iepeets
   • "(default)"="{%CLSID generados%}"

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • http://joy4host.com**********

De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante el método HTTP POST, empleando un script CGI.


Envía informaciones acerca de:
    • Estado actual del programa viral
    • Tiempo de trabajo del programa viral
    • Informaciones acerca del sistema operativo Windows

 Informaciones diversas Objeto mutex:
Crea los siguientes objetos mutex:
   • %dependiente del sistema%
   • %dependiente del sistema%

Descripción insertada por Teodor Onisor el martes 5 de septiembre de 2006
Descripción actualizada por Teodor Onisor el miércoles 13 de septiembre de 2006

Volver . . . .