Nume:TR/Dldr.Agent.bky
Descoperit pe data de:31/03/2007
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:13.312 Bytes
MD5:e9100Ce97a5b4fbd8857b25ffe2d7179
Versiune VDF:6.38.00.149
Versiune IVDF:6.38.00.152 - sabato 31 marzo 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: W32/Fujacks.ah
   •  Kaspersky: Worm.Win32.Fujack.ar
   •  F-Secure: Worm.Win32.Fujack.ar
   •  Panda: W32/DiskInfector.A.worm
   •  Grisoft: Downloader.Agent.KCA
   •  VirusBuster: Worm.OnlineGames.SD
   •  Eset: Win32/Fubalca.A
   •  Bitdefender: Win32.Worm.Tunga.B


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Acceseaza discheta
   • Descarca fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\sysload3.exe
   • %SYSDIR%\tempload.exe
   • %SYSDIR%\tempIcon.exe
   • A:\tool.exe



Urmatoarelor fisiere le sunt adaugate sectiuni:
– Catre: %toate directoarele%\*.HTML Cu urmatorul continut:
   • script src=http://macr.microfsot.com/********** /script

– Catre: %toate directoarele%\*.ASPX Cu urmatorul continut:
   • script src=http://macr.microfsot.com/********** /script

– Catre: %toate directoarele%\*.PHP Cu urmatorul continut:
   • script src=http://macr.microfsot.com/********** /script

– Catre: %toate directoarele%\*.JSP Cu urmatorul continut:
   • script src=http://macr.microfsot.com/********** /script

– Catre: %toate directoarele%\*.ASP Cu urmatorul continut:
   • script src=http://macr.microfsot.com/********** /script




Este creat fisierul:

– A:\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://a.2007ip.com/**********
Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • System Boot Check="%SYSDIR%\sysload3.exe"

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Urmatoarele procese:
   • notepad.exe
   • IEXPLORE.EXE


 Alte informatii Mutex:
Creeaza urmatorii mutecsi:
   • MySignal
   • MyInfect
   • MyDownload


Sir de caractere:
In plus, mai contine urmatorul sir de caractere:
   • I will by one BMW this year!

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Ana Maria Niculescu su giovedì 8 novembre 2007
Descrizione aggiornata da Andrei Gherman su venerdì 9 novembre 2007

Indietro . . . .