Имя:TR/Agent.PK.12
Обнаружен:28/07/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:152.576 байт.
Контрольная сумма MD5:07c5676f2679af4a221b943e012daa2a
Версия VDF:6.35.01.17 - пятница, 28 июля 2006 г.
Версия IVDF:6.35.01.17 - пятница, 28 июля 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Блокирует доступ к веб-страницам IT-security компаний
   • Изменение реестра

 Файлы Попытка загрузки следующего файла:

– Следующий URL:
   • 208.66.195.**********:2234
Сохраняется локально в: %TEMPDIR%\%несколько произвольных чисел%\2234.exe Данный файл запускается на выполнение после его полной загрузки.

 Реестр Удаляется значение следующего ключа реестра:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "DCOM Server"



С добавлением следующего ключа регистрируется BHO (browser helper object):

– HKCR\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2234}\InProcServer32
   • "ThreadingModel"="Apartment"
   • "(Default)"="%Рабочая папка вредоносной программы%\%выполненный файл%"



Добавляются следующие ключи реестра:

– HKCR\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2234}
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad
   • "DCOM Server 2234"="{2C1CD3D7-86AC-4068-93BC-A02304BB2234}"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   SharedTaskScheduler
   • "{2C1CD3D7-86AC-4068-93BC-A02304BB2234}"="DCOM Server 2234"

 Хосты Хост файл изменяется следующим образом:

– В этом случае существующие строки остаются.

– Успешно блокирован доступ к следующим доменам:
   • www.trendmicro.com; rads.mcafee.com; customer.symantec.com;
      liveupdate.symantec.com; us.mcafee.com; updates.symantec.com;
      www.nai.com; secure.nai.com; dispatch.mcafee.com; download.mcafee.com;
      www.my-etrust.com; mast.mcafee.com; ca.com; www.ca.com;
      networkassociates.com; www.networkassociates.com; avp.com;
      www.kaspersky.com; www.avp.com; downloads4.kaspersky-labs.com;
      downloads3.kaspersky-labs.com; downloads2.kaspersky-labs.com;
      downloads1.kaspersky-labs.com; www.f-secure.com; viruslist.com;
      www.viruslist.com; liveupdate.symantecliveupdate.com; www.mcafee.com;
      sophos.com; www.sophos.com; securityresponse.symantec.com;
      www.symantec.com




Модифицированный хост-файл выглядит следующим образом:


 Backdoor Устанавливает соединение с сервером
Следующий:
   • 208.66.195.**********:2234

В результате может пересылаться информация. Ответ сервера записывается в следующий файл: %APPDATA%\Microsoft\2234.dat


Передает информацию о:
    • Информация об операционной системе Windows

 Разное  Связывается со следующими веб-сайтами для проверки установленного Интернет-соединения:
   • aol.com
   • verizon.net
   • ameritech.net
   • cox.net
   • rr.com
   • adelphia.net
   • comcast.net
   • optonline.net


Мьютекс:
Создается мьютекс:
   • hs5pdllv42234

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Marius T. Nicolae в(о) вторник, 8 августа 2006 г.
Описание обновил Marius T. Nicolae в(о) четверг, 17 августа 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.