Полное описание

Имя:	TR/Rincux.AW
Обнаружен:	18/02/2009
Вид:	Троянская программа
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Низкий
Файл статистики:	Да
Размер файла:	135.168 байт.
Контрольная сумма MD5:	5dcfaaef2dedd8280a9d5dbe7b888a2b
Версия IVDF:	7.01.02.40 - среда, 18 февраля 2009 г.

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Kaspersky: Backdoor.Win32.Agent.adxk
   • Grisoft: Agent.AZKT
   • Eset: Win32/Agent.NVO
   • Bitdefender: Trojan.Rincux.AW

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает потенциально опасный файл
   • Изменение реестра
   • Похищает информацию

Файлы Выполненная копия программы удаляется.

Создается файл:

– %SYSDIR%\winnet.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: BDS/Agent.adxk

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   System]
   • DllName="%SYSDIR%\winnet.dll"
   • Startup="LFStartup"
   • Shutdown="LFShutdown"
   • Asynchronous=dword:00000001
   • Impersonate=dword:00000000

Backdoor Устанавливает соединение с сервером
Следующий:
   • jiaozhu**********.9966.org:443

В результате может пересылаться информация.

Передает информацию о:
    • Имя компьютера
    • Тип процессора
    • Hardware
    • Имя пользователя
    • Информация об операционной системе Windows

Инфицирование – Объект внедряется в процесс.

Имя процесса:
• iexplore.exe

Описание добавил Andreas Feuerstein в(о) среда, 18 февраля 2009 г.
Описание обновил Robert Harja Iliescu в(о) пятница, 27 февраля 2009 г.

Назад . . . .