Полное описание

Имя:	TR/Agent.baf.1
Обнаружен:	12/07/2006
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	79.360 байт.
Контрольная сумма MD5:	cd66ab672f46da1a09c0e7516b53f191
Версия VDF:	6.35.00.154
Версия IVDF:	6.35.00.193 - четверг, 20 июля 2006 г.

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Mcafee: CoreFlood.dr
   • Kaspersky: Backdoor.Win32.Afcore.cr
   • TrendMicro: BKDR_AFCORE.AD
   • F-Secure: Backdoor.Win32.Afcore.cr
   • Eset: Win32/Afcore

Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает потенциально опасный файл
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создаются следующие файлы:

– %TEMPDIR%\%случайная буквенная комбинация%.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Agent.baf.3

– %SYSDIR%\%случайная буквенная комбинация%.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Agent.baf.3

– %SYSDIR%\%случайная буквенная комбинация%.dat
– %SYSDIR%\%случайная буквенная комбинация%.dat
– %SYSDIR%\%случайная буквенная комбинация%.dat
– %SYSDIR%\%случайная буквенная комбинация%.dat
– %SYSDIR%\%случайная буквенная комбинация%.dat

Реестр Удаляются все значения следующих ключей реестра и их подключей:
   • HKLM\Software\Classes\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}\InprocServer32
   • HKLM\Software\Classes\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}
   • HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\Offline Files

Добавляются следующие ключи реестра:

– HKLM\SOFTWARE\Classes\CLSID\{%созданный CLSID%}
   • "(default)"="%случайная буквенная комбинация%"

– HKLM\SOFTWARE\Classes\CLSID\{%созданный CLSID%}\
   InprocServer32
   • "(default)"="%SYSDIR%\%случайная буквенная комбинация%.dll"
   • "ThreadingModel"="Apartment"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellIconOverlayIdentifiers\iepeets
   • "(default)"="{%созданный CLSID%}"

Backdoor Устанавливает соединение с сервером
Следующий:
   • http://joy4host.com**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Для этого служит метод HTTP POST с применением CGI скриптов.

Передает информацию о:
    • Текущий malware статус.
    • Время жизни вредоносной программы
    • Информация об операционной системе Windows

Разное Мьютекс:
Создаются мьютексы:
• %зависит от системы%
• %зависит от системы%

Описание добавил Teodor Onisor в(о) вторник, 5 сентября 2006 г.
Описание обновил Teodor Onisor в(о) среда, 13 сентября 2006 г.

Назад . . . .