Имя:TR/Agent.DL.2
Обнаружен:24/08/2005
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:36.969 байт.
Контрольная сумма MD5:13f81b6b0d9cd62837cfebc22777cf63
Версия VDF:6.31.01.176

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan-Spy.Win32.Agent.gf
   •  TrendMicro: TROJ_AGENT.XZ
   •  Sophos: Troj/Dermon-D
   •  Panda: Trj/Agent.AII
   •  VirusBuster: Trojan.Agent.PK


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отключение приложений безопасности
   • Создает файлы
   • Снижает уровень настроек безопасности
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\winserver.exe



Выполненная копия программы удаляется.



Создаются следующие файлы:

%SYSDIR%\winserv.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой.
%SYSDIR%\winserv32.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой.
%SYSDIR%\winserv.ini Содержит используемые вредоносным ПО параметры
%SYSDIR%\winserv.dat Файл содержит строки введенных с клавиатуры символов



Попытка загрузки следующего файла:

– Следующий URL:
   • http://pleskin.**********.ua/part3/check.dat

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "win32 internet server"="%SYSDIR%\winserver.exe"



Изменяются следующие ключи реестра:

– [HKLM\SOFTWARE\Classes\https\shell\open\command]
   Прежнее значение:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome
   Новое значение:
   • @="%PROGRAM FILES%\Internet Explorer\Iexplore.exe"

– [HKLM\SOFTWARE\Classes\http\shell\open\command]
   Прежнее значение:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome
   Новое значение:
   • @="%PROGRAM FILES%\Internet Explorer\Iexplore.exe"

 Завершение процесса Список завершаемых процессов:
   • zonealarm.exe
   • zonalm2601.exe
   • outpost.exe


 Backdoor Открываются следующие порты:

%SYSDIR%\lsass.exe к произвольному TCP порту для обеспечения backdoor функции.
%SYSDIR%\lsass.exe к произвольному TCP порту для обеспечения backdoor функции.


Устанавливает соединение с сервером
Следующий:
   • http://pleskin.**********.ua/

В результате может пересылаться информация. Это происходит с помощью HTTP GET запроса PHP скрипта.
Для этого служит метод HTTP POST с применением PHP скриптов.


Передает информацию о:
    • Созданный лог-файл
    • Переменные окружающей среды
    • IP адрес
    • Информация о сети
    • Открытый порт
    • Информация об операционной системе Windows

 Кража – После посещения одной из следующих веб-страниц была запущена функция протоколирования:
   • https://www.e-gold.com/acct/balance.asp
   • https://www.e-gold.com/acct/accountinfo.asp
   • https://www.e-gold.com/acct/acct.asp

– Запуск функции протоколирования при посещении веб-страницы с одной из следующих последовательностей в URL:
   • "e-gold"
   • "e-bullion"
   • "intgold"
   • "1MDC"
   • "Pecunix"
   • "GoldMoney"
   • "Virtualgold"
   • "NetPay"
   • "paymer"
   • "e-gold"
   • "e-bullion"
   • "intgold"
   • "1MDC"
   • "Pecunix"
   • "GoldMoney"
   • "Virtualgold"
   • "NetPay"
   • "paymer"

– Протоколируется:
    • Нажатие клавиш
    • Информация об окне

 Инфицирование – Вставляется в процесс в качестве программного потока.

    Имя процесса:
   • lsass.exe


 Разное Мьютекс:
Создается мьютекс:
   • IS_ALIVE

 Технология Rootkit Эта технология описывает определенный вид потенциально опасных программ. ПО скрывает свое присутствие от системных программ, программ обеспечения безопасности и от самого пользователя.


Скрывает следующее:
– Собственные файлы


Используемый метод:
    • Невидимый из Windows API

 Данные файла Язык программирования:
 Программа была написана на Borland C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Oliver Auerbach в(о) среда, 24 августа 2005 г.
Описание обновил Oliver Auerbach в(о) пятница, 26 августа 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.