Имя:TR/Proxy.Lager.AQ.9
Обнаружен:07/04/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:51.603 байт.
Контрольная сумма MD5:4c5251efd0bae37655d169065206519f
Версия VDF:6.34.00.165

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Packed.Win32.Tibs
   •  VirusBuster: virus Trojan.PR.Lager.Gen!Pac1


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает файл
   • Создает файл
   • Создает потенциально опасный файл
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создаются следующие файлы:

– Незараженный файл:
   • %SYSDIR%\zlbw.dll

– Файл предназначен для временного использования и может быть удален.
   • %SYSDIR%\log.txt

%SYSDIR%\taskdir.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Proxy.Lager.AQ.1




Попытка загрузки следующего файла:

– Следующий URL:
   • http://216.255.179.238/new/cntr/bin/**********
Сохраняется локально в: %SYSDIR%\taskdir~.exe Данный файл запускается на выполнение после его полной загрузки. На момент проверки данный файл не был доступен.

 Реестр Добавляются следующие ключи реестра:

– [HKEY_CURRENT_USER]
   • "ColorTable19"=dword:%Шестнадцатиричное число%
   • "ColorTable20"=dword:%Шестнадцатиричное число%

 Backdoor Устанавливает соединение с сервером
Все последующие:
   • 216.255.179.238/new/cntr/**********
   • 69.50.161.106/n/**********
   • 69.50.184.194/n/**********
   • 216.255.179.238/new/cls/**********
   • 81.177.3.175/n/**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Это происходит из-за использования методов HTTP GET и POST с применением PHP скрипта.


Передает информацию о:
    • Имя компьютера
    • Текущий malware статус.


Возможности удаленного контроля:
    • Отправить электронную почту

 Инфицирование –  Следующий файл вставляется в процесс: taskdir.dll

    Имя процесса:
   • %каждый вновь запущенный процесс
      после определения находящихся в
      памяти активных потенциально опасных
      программ%


 Разное Мьютекс:
Создается мьютекс:
   • _alanchum

 Технология Rootkit Эта технология описывает определенный вид потенциально опасных программ. ПО скрывает свое присутствие от системных программ, программ обеспечения безопасности и от самого пользователя.


Скрывает следующее:

– Файлы со следующей последовательностью символов в именах:
   • taskdir

– Процессы со следующей последовательностью символов в именах:
   • taskdir

– Следующее значение реестра:
   • taskdir


Используемый метод:
    • Невидимый из Windows API

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Daniel Constantin в(о) пятница, 7 апреля 2006 г.
Описание обновил Daniel Constantin в(о) среда, 12 апреля 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.