Nome del virus:TR/Agent.baf.1
Scoperto:12/07/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:79.360 Byte
Somma di controllo MD5:cd66ab672f46da1a09c0e7516b53f191
Versione VDF:6.35.00.154
Versione IVDF:6.35.00.193 - giovedì 20 luglio 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: CoreFlood.dr
   •  Kaspersky: Backdoor.Win32.Afcore.cr
   •  TrendMicro: BKDR_AFCORE.AD
   •  F-Secure: Backdoor.Win32.Afcore.cr
   •  Eset: Win32/Afcore


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Clona un file “maligno”
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Vengono creati i seguenti file:

%TEMPDIR%\%stringa di caratteri casuale%.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Agent.baf.3

%SYSDIR%\%stringa di caratteri casuale%.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Agent.baf.3

%SYSDIR%\%stringa di caratteri casuale%.dat
%SYSDIR%\%stringa di caratteri casuale%.dat
%SYSDIR%\%stringa di caratteri casuale%.dat
%SYSDIR%\%stringa di caratteri casuale%.dat
%SYSDIR%\%stringa di caratteri casuale%.dat

 Registro  Le seguenti chiavi di registro che includono tutti i valori e le sottochiavi, vengono rimosse:
   • HKLM\Software\Classes\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}\InprocServer32
   • HKLM\Software\Classes\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}
   • HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\Offline Files



Vengono aggiunte le seguenti chiavi di registro:

– HKLM\SOFTWARE\Classes\CLSID\{%CLSID generato%}
   • "(default)"="%stringa di caratteri casuale%"

– HKLM\SOFTWARE\Classes\CLSID\{%CLSID generato%}\
   InprocServer32
   • "(default)"="%SYSDIR%\%stringa di caratteri casuale%.dll"
   • "ThreadingModel"="Apartment"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellIconOverlayIdentifiers\iepeets
   • "(default)"="{%CLSID generato%}"

 Backdoor Contatta il server:
Il seguente:
   • http://joy4host.com**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Questo è fatto tramite il metodo HTTP POST utilizzando uno script CGI.


Invia informazioni riguardanti:
    • Stato corrente del malware
    • Uptime del malware
    • Informazioni sul sistema operativo Windows

 Varie Mutex:
Crea i seguenti Mutex:
   • %dipendente dal sistema%
   • %dipendente dal sistema%

Descrizione inserita da Teodor Onisor su martedì 5 settembre 2006
Descrizione aggiornata da Teodor Onisor su mercoledì 13 settembre 2006

Indietro . . . .