VírusTR/Agent.baf.1
Data em que surgiu:12/07/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:79.360 Bytes
MD5 checksum:cd66ab672f46da1a09c0e7516b53f191
Versão VDF:6.35.00.154
Versão IVDF:6.35.00.193 - quinta-feira, 20 de julho de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Mcafee: CoreFlood.dr
   •  Kaspersky: Backdoor.Win32.Afcore.cr
   •  TrendMicro: BKDR_AFCORE.AD
   •  F-Secure: Backdoor.Win32.Afcore.cr
   •  Eset: Win32/Afcore


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros São criados os seguintes ficheiros:

%TEMPDIR%\%uma série de caracteres aleatórios%.dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Agent.baf.3

%SYSDIR%\%uma série de caracteres aleatórios%.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Agent.baf.3

%SYSDIR%\%uma série de caracteres aleatórios%.dat
%SYSDIR%\%uma série de caracteres aleatórios%.dat
%SYSDIR%\%uma série de caracteres aleatórios%.dat
%SYSDIR%\%uma série de caracteres aleatórios%.dat
%SYSDIR%\%uma série de caracteres aleatórios%.dat

 Registry (Registo do Windows)  As seguintes chaves de registo e todos os valores são eliminados:
   • HKLM\Software\Classes\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}\InprocServer32
   • HKLM\Software\Classes\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}
   • HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\Offline Files



São adicionadas as seguintes chaves ao registo:

– HKLM\SOFTWARE\Classes\CLSID\{%CLSID gerado%}
   • "(default)"="%uma série de caracteres aleatórios%"

– HKLM\SOFTWARE\Classes\CLSID\{%CLSID gerado%}\InprocServer32
   • "(default)"="%SYSDIR%\%uma série de caracteres aleatórios%.dll"
   • "ThreadingModel"="Apartment"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellIconOverlayIdentifiers\iepeets
   • "(default)"="{%CLSID gerado%}"

 Backdoor Contacta o servidor:
Seguinte:
   • http://joy4host.com**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Isto é feito usando o método HTTP POST através de scripts CGI.


Envia informação sobre:
    • Situação actual de malware
    • Tempo de vida do malware
    • Informação sobre o sistema operativo Windows

 Informações diversas Mutex:
Cria os seguintes Mutexes:
   • %dependente do sistema%
   • %dependente do sistema%

Descrição enviada por Teodor Onisor em terça-feira, 5 de setembro de 2006
Descrição atualizada por Teodor Onisor em quarta-feira, 13 de setembro de 2006

Voltar . . . .