Имя:TR/Dldr.Agent.bky
Обнаружен:31/03/2007
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:13.312 байт.
Контрольная сумма MD5:e9100Ce97a5b4fbd8857b25ffe2d7179
Версия VDF:6.38.00.149
Версия IVDF:6.38.00.152 - суббота, 31 марта 2007 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: W32/Fujacks.ah
   •  Kaspersky: Worm.Win32.Fujack.ar
   •  F-Secure: Worm.Win32.Fujack.ar
   •  Panda: W32/DiskInfector.A.worm
   •  Grisoft: Downloader.Agent.KCA
   •  VirusBuster: Worm.OnlineGames.SD
   •  Eset: Win32/Fubalca.A
   •  Bitdefender: Win32.Worm.Tunga.B


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Доступ к дискете
   • Загружает вредоносные файлы
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %SYSDIR%\sysload3.exe
   • %SYSDIR%\tempload.exe
   • %SYSDIR%\tempIcon.exe
   • A:\tool.exe



Разделы добавляются в файлы.
– Кому: %все папки%\*.HTML Со следующим содержимым:
   • script src=http://macr.microfsot.com/********** /script

– Кому: %все папки%\*.ASPX Со следующим содержимым:
   • script src=http://macr.microfsot.com/********** /script

– Кому: %все папки%\*.PHP Со следующим содержимым:
   • script src=http://macr.microfsot.com/********** /script

– Кому: %все папки%\*.JSP Со следующим содержимым:
   • script src=http://macr.microfsot.com/********** /script

– Кому: %все папки%\*.ASP Со следующим содержимым:
   • script src=http://macr.microfsot.com/********** /script




Создается файл:

– A:\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%




Попытка загрузки следующего файла:

– Следующий URL:
   • http://a.2007ip.com/**********
Файл может содержать адреса для загрузки дополнительных источников возможных угроз.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • System Boot Check="%SYSDIR%\sysload3.exe"

 Инфицирование – Объект внедряется в процесс.

    Все следующие процессы:
   • notepad.exe
   • IEXPLORE.EXE


 Разное Мьютекс:
Создаются мьютексы:
   • MySignal
   • MyInfect
   • MyDownload


Строка:
Здесь содержится следующая последовательность:
   • I will by one BMW this year!

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Ana Maria Niculescu в(о) четверг, 8 ноября 2007 г.
Описание обновил Andrei Gherman в(о) пятница, 9 ноября 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.