English
Deutsch
Français
Español
Italiano
Home
Minacce
BDS/Agent.ahj.701
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TechBlog
BDS/Agent.ahj.701 - Backdoor Server
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
BDS/Agent.ahj.701
Scoperto:
28/06/2007
Tipo:
Backdoor Server
In circolazione (ITW):
No
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Basso
Potenziale di danni:
Medio
File statico:
Si
Dimensione del file:
20.847 Byte
Somma di controllo MD5:
571f05c12e0d7489cc10fffab06ccfbd
Versione VDF:
6.39.00.125
Versione IVDF:
6.39.00.127
Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione
Alias:
• Kaspersky: Backdoor.Win32.Agent.ahj
• F-Secure: Backdoor.Win32.Agent.ahj
• Grisoft: Agent.BTX
Piattaforme / Sistemi operativi:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Scarica file “maligni”
• Clona un file “maligno”
• Modifica del registro
• Accesso e controllo del computer da parte di terzi
File
Si copia alla seguente posizione:
•
%SYSDIR%
\
%stringa casuale di otto caratteri%
.EXE
Vengono creati i seguenti file:
–
%SYSDIR%
\
%stringa casuale di otto caratteri%
.DLL Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Agent.14420
–
%SYSDIR%
\delmep.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.
Registro
Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:
– [HKLM\SYSTEM\ControlSet001\Services\
%stringa casuale di otto caratteri%
]
• DisplayName="
%stringa casuale di otto caratteri%
"
• ErrorControl=dword:00000001
• ImagePath="
%SYSDIR%
\
%stringa casuale di otto caratteri%
.EXE -d"
• ObjectName="LocalSystem"
• Start=dword:00000002
• Type=dword:00000010
– [HKCU\SYSTEM\CurrentControlSet\Services\
%stringa casuale di otto caratteri%
]
• Description="
%stringa casuale di otto caratteri%
"
• DisplayName="
%stringa casuale di otto caratteri%
"
• ImagePath="
%SYSDIR%
\
%stringa casuale di otto caratteri%
.EXE -d"
• ObjectName="LocalSystem"
Backdoor
Contatta il server:
Il seguente:
• http://down.hunll.com/popwin/**********
Come risultato viene fornita la capacità di controllare da remoto. La risposta dei server è scritta nel file:
%SYSDIR%
\usdsddse.web
Capacità di controllo remoto:
• Download di file
• Visitare un sito web
Come il virus si inserisce nei processi
– Inserisce il seguente file in un processo:
%stringa casuale di otto caratteri%
.dll
Uno dei seguenti processi:
• explorer.exe
• winlogon.exe
Dettagli del file
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Ernest Szocs il Mon, 02 Jul 2007 10:07 (GMT+1)
Descrizione aggiornata da Andrei Gherman il Mon, 16 Jul 2007 08:35 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Ricevete messaggi aggiornati da Avira in formato
Riconosce e rimuove un malware specifico e le relative varianti.
Scarica qui
Incorporate sul vostro sito Web la visualizzazione di un
avviso in caso di virus
© 2009 Avira GmbH
Copyright
|
Protezione dei dati
|
Mappa del sito
|
Feedback
|
Informazione legale
|
FAQ
|
Contatti
Minacce BDS/Agent.ahj.701
Stampa questa pagina
.gif)
