Имя:TR/Drop.Agent.xgt
Обнаружен:29/10/2008
Вид:Троянская программа
Подвид:Dropper
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:43.520 байт.
Контрольная сумма MD5:89fafe16e1b02883ea9f070079f205de
Версия VDF:7.00.06.216
Версия IVDF:7.00.06.219 - суббота, 27 сентября 2008 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan-Dropper.Win32.Agent.xgt
   •  F-Secure: Trojan-Dropper.Win32.Agent.xgt
   •  Panda: Trj/Downloader.MDW
   •  Eset: Win32/TrojanDownloader.Small.OCS
   •  Bitdefender: Trojan.Agent.AKHF


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Изменение реестра

 Файлы Выполненная копия программы удаляется.



Создаются следующие файлы:

%SYSDIR%\winhoo32.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Hijacker.Gen

%Рабочая папка вредоносной программы%\%выполненный файл%.bat



Пытается запустить на выполнение следующие файлы:

– Имя файла:
   • %SYSDIR%\cmd.exe
с помощью следующего параметра командной строки: /c start iexplore -embedding


– Имя файла:
   • %SYSDIR%\winver.exe

 Реестр Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\MSSMGR\] (Hidden)
– [HKLM\SOFTWARE\Microsoft\MSSMGR]
   • Data=dword:066a5927
   • LSTV=hex:d8,07,0b,00,01,00,18,00,0a,00,02,00,1e,00,7c,00
   • Brnd=dword:00000bba
   • MSLIST=hex:83,98,99,9e,d5,df,de,9d,91,91,87,97,82,9e,8a,9f,93,99,8f,d0,91,65,75,2d,6a,69,62,29,64,65,6d,24,7b,64,7d,0e,3f,10,21,12,23,14,7d,62,63,68,23,35,34,6c,72,6c,71,46,40,56,0d,4a,40,52,08,41,44,4d,04,4f,40,4a,01,40,59,42,33,04,35,06,37,08,39,52,4f,48,4d,04,10,6f,28,35,22,2a,31,35,22,29,3b,29,23,62,23,2b,3b,7f,38,3f,34,7b,36,3b,33,76,29,32,2b,5c,6d,5e,6f,60,51,62
   • PID=dword:00000003
   • Rid=dword:00000266

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   win%случайная комбинация из трех букв%32]
   • Asynchronous=dword:00000001
   • DllName="winhoo32.dll"
   • Impersonate=dword:00000000
   • Startup="busStartup"
   • Shutdown="busShutdown"

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Monica Ghitun в(о) понедельник, 24 ноября 2008 г.
Описание обновил Monica Ghitun в(о) понедельник, 24 ноября 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.