Nom:TR/Agent.baf.1
La date de la découverte:12/07/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:79.360 Octets
Somme de contrôle MD5:cd66ab672f46da1a09c0e7516b53f191
Version VDF:6.35.00.154
Version IVDF:6.35.00.193 - jeudi 20 juillet 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: CoreFlood.dr
   •  Kaspersky: Backdoor.Win32.Afcore.cr
   •  TrendMicro: BKDR_AFCORE.AD
   •  F-Secure: Backdoor.Win32.Afcore.cr
   •  Eset: Win32/Afcore


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Les fichiers suivants sont créés:

%TEMPDIR%\%chaîne de caractères aléatoire%.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Agent.baf.3

%SYSDIR%\%chaîne de caractères aléatoire%.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Agent.baf.3

%SYSDIR%\%chaîne de caractères aléatoire%.dat
%SYSDIR%\%chaîne de caractères aléatoire%.dat
%SYSDIR%\%chaîne de caractères aléatoire%.dat
%SYSDIR%\%chaîne de caractères aléatoire%.dat
%SYSDIR%\%chaîne de caractères aléatoire%.dat

 Registre  Les clés de registre suivantes, y compris toutes les valeurs et les sous-clés, sont enlevées.
   • HKLM\Software\Classes\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}\InprocServer32
   • HKLM\Software\Classes\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}
   • HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\Offline Files



Les clés de registre suivantes sont ajoutée:

– HKLM\SOFTWARE\Classes\CLSID\{%le CLSID généré%}
   • "(default)"="%chaîne de caractères aléatoire%"

– HKLM\SOFTWARE\Classes\CLSID\{%le CLSID généré%}\
   InprocServer32
   • "(default)"="%SYSDIR%\%chaîne de caractères aléatoire%.dll"
   • "ThreadingModel"="Apartment"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellIconOverlayIdentifiers\iepeets
   • "(default)"="{%le CLSID généré%}"

 Porte dérobée Serveur de contact:
Le suivant:
   • http://joy4host.com**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script CGI.


Il envoie de l'information au sujet de:
    • Le statut courant du malware
    • Le temps de fonctionnement du Malware
    • Information sur le système d'exploitation Windows

 Informations divers Mutex:
Il crée les Mutex suivants:
   • %dépendant du système%
   • %dépendant du système%

Description insérée par Teodor Onisor le mardi 5 septembre 2006
Description mise à jour par Teodor Onisor le mercredi 13 septembre 2006

Retour . . . .