Имя:BDS/Agent.FK.2
Обнаружен:12/09/2006
Вид:Backdoor сервер
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:66.560 байт.
Контрольная сумма MD5:8b1989f14257e9a05044d34d94d1af47
Версия VDF:6.35.01.215
Версия IVDF:6.35.01.219 - среда, 13 сентября 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Backdoor.Win32.Agent.fk
   •  TrendMicro: BKDR_AGENT.ETZ
   •  F-Secure: Backdoor.Win32.Agent.fk
   •  Grisoft: BackDoor.Agent.CJW
   •  Eset: Win32/Agent.NBG


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файлы
   • Отслеживается и записывает введенные с клавиатуры символы
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создаются следующие файлы:

%SYSDIR%\w32setng.dat
%SYSDIR%\Netx1.dat Файл содержит строки введенных с клавиатуры символов
%SYSDIR%\Netx2.dat Файл содержит строки введенных с клавиатуры символов
%SYSDIR%\Netxk.datQ Файл содержит строки введенных с клавиатуры символов



Попытка загрузки следующего файла:

– Следующий URL:
   • www.geocities.com/sbstnrother/**********
Сохраняется локально в: %temporary internet files%\ngaq.zip На момент проверки данный файл не был доступен.

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: paln.fw.**********
Порт: 4668
Канал: #net2
Имя: USA|%Операционная система%|%случайная комбинация из четырех букв%

Сервер: srother.kwik.**********
Порт: 4669
Канал: #net1
Имя: USA|%Операционная система%|%случайная комбинация из четырех букв%

Сервер: quant.mooo.**********
Порт: 4669
Канал: #net3
Имя: USA|%Операционная система%|%случайная комбинация из четырех букв%



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Информация о запущенных процессах
    • Информация об операционной системе Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • Начать DDoS SYN атаку
    • Запускается DDoS TCP атака
    • Запускается DDoS UDP атака
    • разорвать соединение с IRC сервером
    • Загрузить файл
    • Остановить процесс
    • Запуск программы контроля клавиатуры
    • Остановить процесс

 Разное  Связывается со следующим веб-сайтом для проверки установленного Интернет-соединения:
   • www.cnn.com

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • PECompact2

Описание добавил Adriana Popa в(о) пятница, 13 октября 2006 г.
Описание обновил Adriana Popa в(о) пятница, 13 октября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.