Имя:TR/Agent.AKB.2
Обнаружен:18/10/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:646.419 байт.
Контрольная сумма MD5:1c3569b0b1a18f7d627e7a75d83e473b
Версия VDF:6.36.00.127
Версия IVDF:6.36.00.144 - пятница, 20 октября 2006 г.

 Общее Псевдоним (alias):
   •  Kaspersky: Backdoor.Win32.VB.awr


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Последствия:
   • Блокирует доступ к различным веб-сайтам
   • Отключение приложений безопасности
   • Создает файл
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %WINDIR%\svchost.exe



Выполненная копия программы удаляется.



Создаются следующие файлы:

– Незараженный файл:
   • %WINDIR%\MSWINSCK.OCX

%WINDIR%\offlog.txt Файл содержит строки введенных с клавиатуры символов

 Реестр Добавляются ключи реестра (бесконечный цикл) для повторного запуска процессов после перезагрузки системы.

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {C010EB0F-A43D-A989-FF0A-C6CF6D0D5EB3}
   • "StubPath"="%WINDIR%\scvhost.exe"



Изменяется следующий ключ реестра:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
   Прежнее значение:
   • "DisableRegistryTools"=%Настройки пользователя%
   Новое значение:
   • "DisableRegistryTools"=dword:00000001

 Хосты Хост файл изменяется следующим образом:

– В этом случае удаляются существующие строки.

– Успешно блокирован доступ к следующим доменам:
   • dl1.avgate.net
   • dl2.avgate.net
   • dl3.avgate.net
   • dl4.avgate.net
   • dl5.avgate.net
   • dl6.avgate.net
   • dl7.avgate.net
   • dl8.avgate.net
   • dl9.avgate.net


 Завершение процесса  Список завершаемых служб:
   • NOD32krn
   • navapsvc
   • AntiVirService
   • antivir

 Backdoor Устанавливает соединение с сервером
Следующий:
   • exclusive72.no-ip.**********:1338

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

 Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы

– Протоколируется:
    • Нажатие клавиш

 Данные файла Язык программирования:
 Программа была написана на Visual Basic.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Bogdan Iliuta в(о) понедельник, 30 октября 2006 г.
Описание обновил Bogdan Iliuta в(о) среда, 15 ноября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.