Nome del virus:BDS/Agent.ahj.701
Scoperto:28/06/2007
Tipo:Backdoor Server
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:20.847 Byte
Somma di controllo MD5:571f05c12e0d7489cc10fffab06ccfbd
Versione VDF:6.39.00.125
Versione IVDF:6.39.00.127 - martedì 10 luglio 2007

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Backdoor.Win32.Agent.ahj
   •  F-Secure: Backdoor.Win32.Agent.ahj
   •  Grisoft: Agent.BTX


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Clona un file “maligno”
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\%stringa casuale di otto caratteri%.EXE



Vengono creati i seguenti file:

%SYSDIR%\%stringa casuale di otto caratteri%.DLL Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Agent.14420

%SYSDIR%\delmep.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.

 Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\ControlSet001\Services\
   %stringa casuale di otto caratteri%]
   • DisplayName="%stringa casuale di otto caratteri%"
   • ErrorControl=dword:00000001
   • ImagePath="%SYSDIR%\%stringa casuale di otto caratteri%.EXE -d"
   • ObjectName="LocalSystem"
   • Start=dword:00000002
   • Type=dword:00000010

– [HKCU\SYSTEM\CurrentControlSet\Services\
   %stringa casuale di otto caratteri%]
   • Description="%stringa casuale di otto caratteri%"
   • DisplayName="%stringa casuale di otto caratteri%"
   • ImagePath="%SYSDIR%\%stringa casuale di otto caratteri%.EXE -d"
   • ObjectName="LocalSystem"

 Backdoor Contatta il server:
Il seguente:
   • http://down.hunll.com/popwin/**********

Come risultato viene fornita la capacità di controllare da remoto. La risposta dei server è scritta nel file: %SYSDIR%\usdsddse.web


Capacità di controllo remoto:
    • Download di file
    • Visitare un sito web

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %stringa casuale di otto caratteri%.dll

    Uno dei seguenti processi:
   • explorer.exe
   • winlogon.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Ernest Szocs su lunedì 2 luglio 2007
Descrizione aggiornata da Andrei Gherman su lunedì 16 luglio 2007

Indietro . . . .