Имя:BDS/Agent.ahj.701
Обнаружен:28/06/2007
Вид:Backdoor сервер
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:20.847 байт.
Контрольная сумма MD5:571f05c12e0d7489cc10fffab06ccfbd
Версия VDF:6.39.00.125
Версия IVDF:6.39.00.127 - вторник, 10 июля 2007 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Backdoor.Win32.Agent.ahj
   •  F-Secure: Backdoor.Win32.Agent.ahj
   •  Grisoft: Agent.BTX


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносные файлы
   • Создает потенциально опасный файл
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\%случайная комбинация букв из восьми букв%.EXE



Создаются следующие файлы:

%SYSDIR%\%случайная комбинация букв из восьми букв%.DLL После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Agent.14420

%SYSDIR%\delmep.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.

 Реестр Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\ControlSet001\Services\
   %случайная комбинация букв из восьми букв%]
   • DisplayName="%случайная комбинация букв из восьми букв%"
   • ErrorControl=dword:00000001
   • ImagePath="%SYSDIR%\%случайная комбинация букв из восьми букв%.EXE -d"
   • ObjectName="LocalSystem"
   • Start=dword:00000002
   • Type=dword:00000010

– [HKCU\SYSTEM\CurrentControlSet\Services\
   %случайная комбинация букв из восьми букв%]
   • Description="%случайная комбинация букв из восьми букв%"
   • DisplayName="%случайная комбинация букв из восьми букв%"
   • ImagePath="%SYSDIR%\%случайная комбинация букв из восьми букв%.EXE -d"
   • ObjectName="LocalSystem"

 Backdoor Устанавливает соединение с сервером
Следующий:
   • http://down.hunll.com/popwin/**********

В результате обеспечиваются функции скрытого удаленного управления. Ответ сервера записывается в следующий файл: %SYSDIR%\usdsddse.web


Возможности удаленного контроля:
    • Загрузить файл
    • Посещение веб-страницы

 Инфицирование –  Следующий файл вставляется в процесс: %случайная комбинация букв из восьми букв%.dll

    Один из следующих процессов:
   • explorer.exe
   • winlogon.exe


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Ernest Szocs в(о) понедельник, 2 июля 2007 г.
Описание обновил Andrei Gherman в(о) понедельник, 16 июля 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.