Имя:TR/Agent.bah
Обнаружен:12/07/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:2.836.992 байт.
Контрольная сумма MD5:c9990e25bf40674a2fefe09fbb931b5a
Версия VDF:6.35.00.154
Версия IVDF:6.35.00.193 - четверг, 20 июля 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan.Win32.Pakes
   •  TrendMicro: BKDR_HUPIGON.AYE
   •  F-Secure: Trojan.Win32.Pakes
   •  Eset: Win32/Hupigon.NAB
   •  Bitdefender: Backdoor.Agent.QF


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08O.com



Выполненная копия программы удаляется.



Создаются следующие файлы:

%SYSDIR%\drivers\oreans32.sys
%PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08O.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Pakes.A.687

%PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08Okey.DLL Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Pakes.A.688

%PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08Okey.log Файл содержит строки введенных с клавиатуры символов
%WINDIR%\uninstal.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.

 Реестр Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000001
   • "ImagePath"=\??\%SYSDIR%\drivers\oreans32.sys
   • "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%шестнадцатиричное значение%

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Backdoor Устанавливает соединение с сервером
Следующий:
   • nightscorpio.kmip.**********:8989

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Соединение периодически регулярно повторяется.

Передает информацию о:
    • Имя компьютера
    • Тип Интернет-соединения
    • IP адрес
    • Информация об операционной системе Windows


Возможности удаленного контроля:
    • Начать DDoS SYN атаку
    • Отключить сетевые папки общего доступа
    • Подключить сетевые папки общего доступа
    • Запуск программы контроля клавиатуры

 Инфицирование –  Следующий файл вставляется в процесс: MSMDG08O.dll

    Имя процесса:
   • iexplore.exe



–  Следующий файл вставляется в процесс: MSMDG08Okey.DLL

    Имя процесса:
   • %все активные процессы%


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Adriana Popa в(о) понедельник, 4 сентября 2006 г.
Описание обновил Adriana Popa в(о) вторник, 12 сентября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.