TR/Agent.baf.1 - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Agent.baf.1
Scoperto:	12/07/2006
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	79.360 Byte
Somma di controllo MD5:	cd66ab672f46da1a09c0e7516b53f191
Versione VDF:	6.35.00.154
Versione IVDF:	6.35.00.193

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Mcafee: CoreFlood.dr
   • Kaspersky: Backdoor.Win32.Afcore.cr
   • TrendMicro: BKDR_AFCORE.AD
   • F-Secure: Backdoor.Win32.Afcore.cr
   • Eset: Win32/Afcore

Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Clona un file “maligno”
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

File Vengono creati i seguenti file:

– %TEMPDIR%\%stringa di caratteri casuale%.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Agent.baf.3

– %SYSDIR%\%stringa di caratteri casuale%.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Agent.baf.3

– %SYSDIR%\%stringa di caratteri casuale%.dat
– %SYSDIR%\%stringa di caratteri casuale%.dat
– %SYSDIR%\%stringa di caratteri casuale%.dat
– %SYSDIR%\%stringa di caratteri casuale%.dat
– %SYSDIR%\%stringa di caratteri casuale%.dat

Registro Le seguenti chiavi di registro che includono tutti i valori e le sottochiavi, vengono rimosse:
   • HKLM\Software\Classes\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}\InprocServer32
   • HKLM\Software\Classes\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}
   • HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\Offline Files

Vengono aggiunte le seguenti chiavi di registro:

– HKLM\SOFTWARE\Classes\CLSID\{%CLSID generato%}
   • "(default)"="%stringa di caratteri casuale%"

– HKLM\SOFTWARE\Classes\CLSID\{%CLSID generato%}\
   InprocServer32
   • "(default)"="%SYSDIR%\%stringa di caratteri casuale%.dll"
   • "ThreadingModel"="Apartment"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellIconOverlayIdentifiers\iepeets
   • "(default)"="{%CLSID generato%}"

Backdoor Contatta il server:
Il seguente:
   • http://joy4host.com**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Questo è fatto tramite il metodo HTTP POST utilizzando uno script CGI.

Invia informazioni riguardanti:
    • Stato corrente del malware
    • Uptime del malware
    • Informazioni sul sistema operativo Windows

Varie Mutex:
Crea i seguenti Mutex:
• %dipendente dal sistema%
• %dipendente dal sistema%

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Teodor Onisor il Tue, 05 Sep 2006 16:14 (GMT+1)
Descrizione aggiornata da Teodor Onisor il Wed, 13 Sep 2006 10:58 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro