Имя:TR/Dldr.Agent.gcx
Обнаружен:24/10/2008
Вид:Троянская программа
Подвид:Downloader
В реальных условиях:Да
Отмеченные факты заражения:Средний
Потенциал распространения:Высокий
Потенциал повреждений:Высокий
Файл статистики:Нет
Размер файла:~ 360.000 байт.
Версия IVDF:7.00.07.81 - пятница, 24 октября 2008 г.

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Mcafee: Spy-Agent.da trojan
   •  Kaspersky: Trojan-Downloader.Win32.Agent.alce
   •  F-Secure: Trojan-Downloader.Win32.Agent.alce
   •  Sophos: Troj/Gimmiv-A
   •  Bitdefender: Win32.Worm.Gimmiv.A


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Создает потенциально опасный файл
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создаются следующие файлы:

%SYSDIR%\wbem\sysmgr.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Agent.gcx

%TEMPDIR%\%случайная комбинация букв из восьми букв%.bat Данный batch-файл используется для удаления файла.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SYSTEM\ControlSet001\Services\sysmgr\Parameters]
   • "ServiceDll"=%SYSDIR%\%malware dll%
   • "ServiceMain"="ServiceMainFunc"



Добавляется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   • "sysmgr"=%шестнадцатиричное значение%

 Backdoor Устанавливает соединение с сервером
Один из следующих:
   • 212.227.93.146
   • 64.233.189.147
   • 202.108.22.44

В результате может пересылаться информация. Соединение периодически регулярно повторяется. Это происходит с помощью HTTP GET запроса PHP скрипта.


Передает информацию о:
    • Добавить/Удалить список программ
    • Имя компьютера
    • Информация о сети
    • Полученная из похищенного блока информация
    • Имя пользователя
    • Информация об операционной системе Windows

 Кража Попытка кражи следующей информации:

– Пароли следующих программ:
   • Outlook Express
   • MSN Messenger
   • Protected Storage

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.

Описание добавил Thomas Wegele в(о) пятница, 24 октября 2008 г.
Описание обновил Alexander Vukcevic в(о) пятница, 24 октября 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.