Nume:TR/Agent.AKB.2
Descoperit pe data de:18/10/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:646.419 Bytes
MD5:1c3569b0b1a18f7d627e7a75d83e473b
Versiune VDF:6.36.00.127
Versiune IVDF:6.36.00.144 - viernes 20 de octubre de 2006

 General Alias:
   •  Kaspersky: Backdoor.Win32.VB.awr


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efecte secundare:
   • Blocheaza accesul la anumite website-uri
   • Inchide aplicatiile de securitate
   • Creeaza un fisier
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\svchost.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

– Fisier inofensiv:
   • %WINDIR%\MSWINSCK.OCX

– %WINDIR%\offlog.txt Acest fisier stocheaza datele introduse de utilizator la tastatura.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri, in mod repetat, pentru a asigura pornirea procesului dupa reboot.

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {C010EB0F-A43D-A989-FF0A-C6CF6D0D5EB3}
   • "StubPath"="%WINDIR%\scvhost.exe"



Urmatoarea cheie din registri este modificata:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
   Vechea valoare:
   • "DisableRegistryTools"=%setarile utilizatorului%
   Noua valoare:
   • "DisableRegistryTools"=dword:00000001

 Fisiere host Fisierul

– In acest caz, inregistrarile existente sunt sterse.

– Accesul la urmatoarele domenii este blocat:
   • dl1.avgate.net
   • dl2.avgate.net
   • dl3.avgate.net
   • dl4.avgate.net
   • dl5.avgate.net
   • dl6.avgate.net
   • dl7.avgate.net
   • dl8.avgate.net
   • dl9.avgate.net


 Terminarea proceselor  Lista cu serviciile dezactivate:
   • NOD32krn
   • navapsvc
   • AntiVirService
   • antivir

 Backdoor Servere contactate:
Urmatorul:
   • exclusive72.no-ip.**********:1338

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

– Face captura la:
    • Datele introduse de la tastatura

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Bogdan Iliuta el lunes 30 de octubre de 2006
Descripción actualizada por Bogdan Iliuta el miércoles 15 de noviembre de 2006

Volver . . . .