Полное описание

Имя:	TR/Agent.tcn
Обнаружен:	06/06/2009
Вид:	Троянская программа
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Низкий
Файл статистики:	Нет
Версия VDF:	7.01.04.64

Общее    • Нет собственной процедуры распространения
   • Kaspersky: Backdoor.Win32.Agent.ahrt
   • F-Secure: Backdoor.Win32.Agent.ahrt
   • Sophos: Mal/Generic-A
   • Bitdefender: Trojan.VB.NZF
   • Похищает информацию

Файлы Создаются собственные копии:
   • %WINDIR%\systemserv32.exe
   • C:\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\appleJuice\incoming\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Bearshare\Shared\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\eDonkey2000\Incoming\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\emule\incoming\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Gnucleus\Downloads\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Grokster\My Grokster\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Kazaa Lite K++\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Kazaa\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\KMD\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\limewire\Shared\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Morpheus\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Overnet\incoming\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Rapigator\Share\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Shareaza\Downloads\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Swaptor\Download\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\Tesla\Files\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\WinMX\My Shared Folder\multi_keygen_for_532_games.exe
   • %PROGRAM FILES%\XoloX\Downloads\multi_keygen_for_532_games.exe

– Файл с содержащимися в нем Email адресами:
   • %WINDIR%\wkernel32.sys

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– SystemService32
• %WINDIR%\systemserv32.exe

Backdoor Устанавливает соединение с сервером
Следующий:
   • http://blog.infolinux.ro/****************

Это происходит с помощью HTTP GET запроса PHP скрипта.

Передает информацию о:
    • Собранные электронные адреса
    • Имя компьютера

Кража Попытка кражи следующей информации:

– CD ключ:
   • Steam

– Пароли следующих программ:
   • Firefox
   • Steam

– Проверяется сетевой трафик. Поиск следующих последовательностей символов:
   • :.login; :,login; :!login; :@login; :$login; :%login; :^login;
      :&login; :*login; :-login; :+login; :/login; :\login; :=login;
      :?login; :'login; :`login; :~login; : login; :.auth; :,auth; :!auth;
      :@auth; :$auth; :%auth; :^auth; :&auth; :*auth; :-auth; :+auth;
      :/auth; :\auth; :=auth; :?auth; :'auth; :`auth; :~auth; : auth;
      :.hashin; :!hashin; :$hashin; :%hashin; :.secure; :!secure; :.syn

Данные файла Язык программирования:
Программа была написана на Visual Basic.

Описание добавил Serban Ghiuta в(о) вторник, 28 июля 2009 г.
Описание обновил Serban Ghiuta в(о) среда, 29 июля 2009 г.

Назад . . . .