Nume:BDS/Agent.ahj.701
Descoperit pe data de:28/06/2007
Tip:Backdoor Server
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:20.847 Bytes
MD5:571f05c12e0d7489cc10fffab06ccfbd
Versiune VDF:6.39.00.125
Versiune IVDF:6.39.00.127 - mardi 10 juillet 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Backdoor.Win32.Agent.ahj
   •  F-Secure: Backdoor.Win32.Agent.ahj
   •  Grisoft: Agent.BTX


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza un fisier malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\%sir de 8 caractere aleatoare%.EXE



Sunt create fisierele:

– %SYSDIR%\%sir de 8 caractere aleatoare%.DLL Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Agent.14420

– %SYSDIR%\delmep.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\ControlSet001\Services\
   %sir de 8 caractere aleatoare%]
   • DisplayName="%sir de 8 caractere aleatoare%"
   • ErrorControl=dword:00000001
   • ImagePath="%SYSDIR%\%sir de 8 caractere aleatoare%.EXE -d"
   • ObjectName="LocalSystem"
   • Start=dword:00000002
   • Type=dword:00000010

– [HKCU\SYSTEM\CurrentControlSet\Services\
   %sir de 8 caractere aleatoare%]
   • Description="%sir de 8 caractere aleatoare%"
   • DisplayName="%sir de 8 caractere aleatoare%"
   • ImagePath="%SYSDIR%\%sir de 8 caractere aleatoare%.EXE -d"
   • ObjectName="LocalSystem"

 Backdoor Servere contactate:

   • http://down.hunll.com/popwin/**********

Astfel se obtine control la distanta. Raspunsul serverului este scris in fisierul: %SYSDIR%\usdsddse.web


Posibilitati de control la distanta:
    • descarcare fisier
    • Vizitarea unui website

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %sir de 8 caractere aleatoare%.dll

    Unul din urmatoarele procese:
   • explorer.exe
   • winlogon.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Ernest Szocs le lundi 2 juillet 2007
Description mise à jour par Andrei Gherman le lundi 16 juillet 2007

Retour . . . .