Имя:TR/AgentMB.PEHAB9080094.1
Обнаружен:27/11/2008
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Низкий
Файл статистики:Да
Версия IVDF:7.01.00.149 - четверг, 27 ноября 2008 г.

 Общее Псевдонимы (аliases):
   •  Symantec: W32.Harakit
   •  Mcafee: W32/Autorun.worm.cj
   •  Panda: W32/Autoit.BT
   •  Grisoft: Worm/Autoit.GTF
   •  Eset: Win32/Autoit.FO
   •  Bitdefender: Trojan.AgentMB.PEHAB9080094


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файлы
   • Изменение реестра

 Файлы Создается собственная копия:
   • %WINDIR%\system32 \csrcs.exe



Выполненная копия программы удаляется.



Создается файл:

%SYSDIR%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   •

%TEMPDIR%\suicide.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.



Попытка запустить на выполнение следующий файл:

– Имя файла:
   • %TEMPDIR%\suicide.bat
Данный batch-файл используется для удаления файла.

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe csrcs.exe"



Удаляются значения следующего ключа реестра:

–  [HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings]
   • "ProxyServer"
   • "ProxyOverride"
   • "AutoConfigURL"



Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\DRM\amty]
   • "ilop"="1"
   • "exp1"="408406541BC5BBE4DC197A2A0C46B9AFF2F90D96B151D7C7BCBD177741EE95F062E634D70EB70FB65FC8FBF0EC312619"
   • "dreg"="408406541BC5BBE4DC197A2A0C46B9ACF2F90D96B151D7C7BCBD177641EE95F562E634D70EB70FB65FC8FBF0EC31276D8626D05B1ED70CC881A48DA07A7E649B"
   • "fix"=""
   • "fix1"="1"
   • "regexp"="-0.215134707364621"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"



Изменяются следующие ключи реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Новое значение:
   • "SuperHidden"=dword:00000000
     "Hidden"=dword:00000001
     "ShowSuperHidden"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Новое значение:
   • "CheckedValue"=dword:00000001

 Разное Антиотладка
При успешном выполнении перед закрытием отображается следующее:


Описание добавил Petre Galan в(о) пятница, 3 июля 2009 г.
Описание обновил Andrei Ivanes в(о) понедельник, 17 августа 2009 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.