Имя:DR/Agent.MT
Обнаружен:15/09/2004
Вид:Дроппер
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Низкий
Файл статистики:Да
Размер файла:179.712 байт.
Контрольная сумма MD5:af9b414ca4e341e76d07e999aa1e0faa
Версия VDF:6.27.0.61

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: Downloader-PE
   •  Kaspersky: Trojan-Dropper.Win32.Agent.mm
   •  TrendMicro: TROJ_AGENT.SZ
   •  VirusBuster: Trojan.DR.Agent.RV
   •  Bitdefender: Trojan.Dropper.Agent.MM


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает потенциально опасный файл
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создается файл:

%TEMPDIR%\installer.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Dyfuca.DB.1

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Installer"="%Рабочая папка вредоносной программы%\%выполненный файл%"



Изменяются следующие ключи реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Прежнее значение:
   • "CurrentLevel"=%Настройки пользователя%
   • "Flags"=%Настройки пользователя%
   • "1001"=%Настройки пользователя%
   • "1004"=%Настройки пользователя%
   • "1200"=%Настройки пользователя%
   • "1201"=%Настройки пользователя%
   • "1400"=%Настройки пользователя%
   • "1402"=%Настройки пользователя%
   • "1405"=%Настройки пользователя%
   • "1406"=%Настройки пользователя%
   • "1407"=%Настройки пользователя%
   • "1601"=%Настройки пользователя%
   • "1604"=%Настройки пользователя%
   • "1605"=%Настройки пользователя%
   • "1606"=%Настройки пользователя%
   • "1607"=%Настройки пользователя%
   • "1608"=%Настройки пользователя%
   • "1609"=%Настройки пользователя%
   • "1800"=%Настройки пользователя%
   • "1802"=%Настройки пользователя%
   • "1803"=%Настройки пользователя%
   • "1804"=%Настройки пользователя%
   • "1805"=%Настройки пользователя%
   • "1A00"=%Настройки пользователя%
   • "1A02"=%Настройки пользователя%
   • "1A03"=%Настройки пользователя%
   • "1A04"=%Настройки пользователя%
   • "1A05"=%Настройки пользователя%
   • "1A06"=%Настройки пользователя%
   • "1A10"=%Настройки пользователя%
   • "1C00"=%Настройки пользователя%
   • "1E05"=%Настройки пользователя%
   • "1206"=%Настройки пользователя%
   • "2001"=%Настройки пользователя%
   • "2004"=%Настройки пользователя%
   Новое значение:
   • "CurrentLevel"=dword:00000001
   • "Flags"=dword:00000001
   • "1001"=dword:00000000
   • "1004"=dword:00000000
   • "1200"=dword:00000000
   • "1201"=dword:00000000
   • "1400"=dword:00000000
   • "1402"=dword:00000000
   • "1405"=dword:00000000
   • "1406"=dword:00000000
   • "1407"=dword:00000000
   • "1601"=dword:00000000
   • "1604"=dword:00000000
   • "1605"=dword:00000000
   • "1606"=dword:00000000
   • "1607"=dword:00000000
   • "1608"=dword:00000000
   • "1609"=dword:00000000
   • "1800"=dword:00000000
   • "1802"=dword:00000000
   • "1803"=dword:00000000
   • "1804"=dword:00000000
   • "1805"=dword:00000001
   • "1A00"=dword:00000000
   • "1A02"=dword:00000000
   • "1A03"=dword:00000000
   • "1A04"=dword:00000000
   • "1A05"=dword:00000000
   • "1A06"=dword:00000000
   • "1A10"=dword:00000001
   • "1C00"=dword:00010000
   • "1E05"=dword:00020000
   • "1206"=dword:00000000
   • "2001"=dword:00000000
   • "2004"=dword:00000000

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • ASProtect 2.0

Описание добавил Razvan Olteanu в(о) четверг, 8 сентября 2005 г.
Описание обновил Razvan Olteanu в(о) среда, 21 сентября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.