Имя:TR/Agent.baf.1
Обнаружен:12/07/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:79.360 байт.
Контрольная сумма MD5:cd66ab672f46da1a09c0e7516b53f191
Версия VDF:6.35.00.154
Версия IVDF:6.35.00.193 - четверг, 20 июля 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: CoreFlood.dr
   •  Kaspersky: Backdoor.Win32.Afcore.cr
   •  TrendMicro: BKDR_AFCORE.AD
   •  F-Secure: Backdoor.Win32.Afcore.cr
   •  Eset: Win32/Afcore


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает потенциально опасный файл
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создаются следующие файлы:

%TEMPDIR%\%случайная буквенная комбинация%.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Agent.baf.3

%SYSDIR%\%случайная буквенная комбинация%.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Agent.baf.3

%SYSDIR%\%случайная буквенная комбинация%.dat
%SYSDIR%\%случайная буквенная комбинация%.dat
%SYSDIR%\%случайная буквенная комбинация%.dat
%SYSDIR%\%случайная буквенная комбинация%.dat
%SYSDIR%\%случайная буквенная комбинация%.dat

 Реестр  Удаляются все значения следующих ключей реестра и их подключей:
   • HKLM\Software\Classes\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}\InprocServer32
   • HKLM\Software\Classes\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}
   • HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\Offline Files



Добавляются следующие ключи реестра:

– HKLM\SOFTWARE\Classes\CLSID\{%созданный CLSID%}
   • "(default)"="%случайная буквенная комбинация%"

– HKLM\SOFTWARE\Classes\CLSID\{%созданный CLSID%}\
   InprocServer32
   • "(default)"="%SYSDIR%\%случайная буквенная комбинация%.dll"
   • "ThreadingModel"="Apartment"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellIconOverlayIdentifiers\iepeets
   • "(default)"="{%созданный CLSID%}"

 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://joy4host.com**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Для этого служит метод HTTP POST с применением CGI скриптов.


Передает информацию о:
    • Текущий malware статус.
    • Время жизни вредоносной программы
    • Информация об операционной системе Windows

 Разное Мьютекс:
Создаются мьютексы:
   • %зависит от системы%
   • %зависит от системы%

Описание добавил Teodor Onisor в(о) вторник, 5 сентября 2006 г.
Описание обновил Teodor Onisor в(о) среда, 13 сентября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.