Nume:TR/Dldr.Agent.awg.4
Descoperit pe data de:10/10/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:35.328 Bytes
MD5:cd0B92cc20d1cd6b308077431bc1f8cd
Versiune VDF:6.36.00.87
Versiune IVDF:6.36.00.103 - sexta-feira, 13 de outubro de 2006

 General Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Agent.awg
   •  Sophos: Troj/CarLoad-B
   •  Bitdefender: Trojan.Downloader.Agent.AOV


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Creeaza un fisier malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Este creat fisierul:

– %SYSDIR%\srvc.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Agent.awg.4




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://bebbedaacfefbde.com/b/**********
Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

– Adresa este urmatoarea:
   • %URL din fisierul descarcat%
Fisierul este stocat pe hard disc la: %TEMPDIR%\%combinatie de caractere aleatoare%.tmp In plus, acest fisier este executat dupa ce este descarcat de pe Internet.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   WLogon
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000001
   • "StartShell"="Entry"
   • "DllName"="srvc.dll"

 Backdoor Servere contactate:
Urmatorul:
   • http://bebbedaacfefbde.com/b/**********

Astfel se pot transmite informatii si se poate obtine control la distanta. Aceasta se face prin metoda HTTP POST, folosind un script PHP.


Trimte informatii despre:
    • Numele sistemului

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\srvc.dll

    Numele procesului:
   • %WINDIR%\Explorer.EXE

   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

 Alte informatii  Cauta o conexiune Internet, contactand urmatorul website:
   • http://microsoft.com

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • ASPack

Descrição enviada por Bogdan Iliuta em sexta-feira, 10 de novembro de 2006
Descrição atualizada por Bogdan Iliuta em segunda-feira, 20 de novembro de 2006

Voltar . . . .