Имя:TR/Agent.VG.8
Обнаружен:06/10/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:18.432 байт.
Контрольная сумма MD5:b00760a27528fe13c8750497f3be2b91
Версия VDF:6.36.00.80
Версия IVDF:6.36.00.96 - четверг, 12 октября 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: BackDoor-CVT
   •  Kaspersky: Trojan.Win32.Agent.aae
   •  F-Secure: Trojan.Win32.Agent.aae
   •  VirusBuster: Trojan.Agent.EPL
   •  Bitdefender: Trojan.Agent.YN


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файл
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %SYSDIR%\win%случайная буквенная комбинация%32.dll



Выполненная копия программы удаляется.



Создается файл:

%SYSDIR%\wineak32.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.



Попытка запустить на выполнение следующий файл:

– Имя файла:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe
с помощью следующего параметра командной строки: -embedding

 Реестр Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   win%случайная буквенная комбинация%32]
   • "Asynchronous"=dword:00000001
   • "DllName"="win%случайная буквенная комбинация%32.dll"
   • "Impersonate"=dword:00000000
   • "Startup"="EvtStartup"
   • "Shutdown"="EvtShutdown"

– [HKLM\SOFTWARE\Microsoft\MSSMGR]
   • "Data"=dword:01c2a630
   • "LSTV"=%шестнадцатиричное значение%
   • "Brnd"=dword:0000030b
   • "Rid"=dword:000000cd
   • "LID"=dword:0000003a
   • "SCLIST"=%шестнадцатиричное значение%
   • "SSLIST"=%шестнадцатиричное значение%

 Backdoor Устанавливает соединение с сервером
Все последующие:
   • here4search.biz/img/**********
   • smart-security.biz/img/**********
   • l.mezzicodec.net/a412/**********
   • dr.mcboo.com/**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Это происходит с помощью HTTP GET запроса PHP скрипта.


Передает информацию о:
    • Текущий malware статус.
    • Время жизни вредоносной программы


Возможности удаленного контроля:
    • Загрузить файл
    • Запустить файл

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Adriana Popa в(о) понедельник, 13 ноября 2006 г.
Описание обновил Adriana Popa в(о) понедельник, 13 ноября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.