Полное описание

Имя:	BDS/Agent.ahj.701
Обнаружен:	28/06/2007
Вид:	Backdoor сервер
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	20.847 байт.
Контрольная сумма MD5:	571f05c12e0d7489cc10fffab06ccfbd
Версия VDF:	6.39.00.125
Версия IVDF:	6.39.00.127 - вторник, 10 июля 2007 г.

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Kaspersky: Backdoor.Win32.Agent.ahj
   • F-Secure: Backdoor.Win32.Agent.ahj
   • Grisoft: Agent.BTX

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Загружает вредоносные файлы
   • Создает потенциально опасный файл
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создается собственная копия:
• %SYSDIR%\%случайная комбинация букв из восьми букв%.EXE

Создаются следующие файлы:

– %SYSDIR%\%случайная комбинация букв из восьми букв%.DLL После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Agent.14420

– %SYSDIR%\delmep.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.

Реестр Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\ControlSet001\Services\
   %случайная комбинация букв из восьми букв%]
   • DisplayName="%случайная комбинация букв из восьми букв%"
   • ErrorControl=dword:00000001
   • ImagePath="%SYSDIR%\%случайная комбинация букв из восьми букв%.EXE -d"
   • ObjectName="LocalSystem"
   • Start=dword:00000002
   • Type=dword:00000010

– [HKCU\SYSTEM\CurrentControlSet\Services\
   %случайная комбинация букв из восьми букв%]
   • Description="%случайная комбинация букв из восьми букв%"
   • DisplayName="%случайная комбинация букв из восьми букв%"
   • ImagePath="%SYSDIR%\%случайная комбинация букв из восьми букв%.EXE -d"
   • ObjectName="LocalSystem"

Backdoor Устанавливает соединение с сервером
Следующий:
   • http://down.hunll.com/popwin/**********

В результате обеспечиваются функции скрытого удаленного управления. Ответ сервера записывается в следующий файл: %SYSDIR%\usdsddse.web

Возможности удаленного контроля:
    • Загрузить файл
    • Посещение веб-страницы

Инфицирование – Следующий файл вставляется в процесс: %случайная комбинация букв из восьми букв%.dll

    Один из следующих процессов:
   • explorer.exe
   • winlogon.exe

Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Ernest Szocs в(о) понедельник, 2 июля 2007 г.
Описание обновил Andrei Gherman в(о) понедельник, 16 июля 2007 г.

Назад . . . .