Имя:TR/Dldr.Agent.awg.4
Обнаружен:10/10/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:35.328 байт.
Контрольная сумма MD5:cd0B92cc20d1cd6b308077431bc1f8cd
Версия VDF:6.36.00.87
Версия IVDF:6.36.00.103 - пятница, 13 октября 2006 г.

 Общее Псевдонимы (аliases):
   •  Kaspersky: Trojan-Downloader.Win32.Agent.awg
   •  Sophos: Troj/CarLoad-B
   •  Bitdefender: Trojan.Downloader.Agent.AOV


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает файлы
   • Создает потенциально опасный файл
   • Изменение реестра
   • Похищает информацию

 Файлы Создается файл:

%SYSDIR%\srvc.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Agent.awg.4




Попытка загрузки следующих файлов:

– Следующий URL:
   • http://bebbedaacfefbde.com/b/**********
Файл может содержать адреса для загрузки дополнительных источников возможных угроз.

– Следующий URL:
   • %URL из загруженного файла%
Сохраняется локально в: %TEMPDIR%\%случайная буквенная комбинация%.tmp Данный файл запускается на выполнение после его полной загрузки.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   WLogon
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000001
   • "StartShell"="Entry"
   • "DllName"="srvc.dll"

 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://bebbedaacfefbde.com/b/**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Для этого служит метод HTTP POST с применением PHP скриптов.


Передает информацию о:
    • Имя компьютера

 Инфицирование –  Следующий файл вставляется в процесс: %SYSDIR%\srvc.dll

    Имя процесса:
   • %WINDIR%\Explorer.EXE

   При успешном выполнении вредоносная программа завершается. Инфицированная часть остается при этом активной.

 Разное  Связывается со следующим веб-сайтом для проверки установленного Интернет-соединения:
   • http://microsoft.com

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • ASPack

Описание добавил Bogdan Iliuta в(о) пятница, 10 ноября 2006 г.
Описание обновил Bogdan Iliuta в(о) понедельник, 20 ноября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.