Полное описание

Имя:	TR/Dldr.Agent.beti.3
Обнаружен:	29/05/2009
Вид:	Троянская программа
Подвид:	Downloader
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	От среднего до высокого
Файл статистики:	Да
Размер файла:	9.792 байт.
Контрольная сумма MD5:	c4c973cfdd2ffdcb847e07df55fdec43
Версия IVDF:	7.01.04.35 - пятница, 29 мая 2009 г.

Общее    • Mcafee: Dropper.ek
   • Sophos: Mal/Mdrop-L
   • Panda: Trj/Downloader.VYP
   • Grisoft: Downloader.Agent.AULX
   • Eset: Win32/TrojanDownloader.Small.OOV

Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Отключение приложений безопасности
   • Загружает вредоносные файлы
   • Создает потенциально опасный файл
   • Изменение реестра

Файлы Создается собственная копия:
   • %TEMPDIR%\%случайная буквенная комбинация%

Выполненная копия программы удаляется.

– %TEMPDIR%\1.txt (0 bytes)
– %TEMPDIR%\nckdta.sys (1344 bytes) Дальнейшие исследования выявили, что данный файл является вредоносной программой.

Попытка загрузки следующих файлов:

– Следующие URL:
   • http://files850362.net/b2b/**********
   • http://files850362.net/b2b/load/**********
   • http://files850362.net/b2b/load/**********
Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]
   • "Type"=dword:00000001
      "Start"=dword:00000003
      "ErrorControl"=dword:00000000
      "ImagePath"= "\??\%TEMPDIR%\nckdta.sys"
      "DisplayName"="nckdta nckdta"

Удаляются все значения следующего ключа реестра и его подключей:
   • [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]

Добавляется следующий ключ реестра:

– [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]
   • "nckdta"=%Число%

Данные файла Язык программирования:
Программа была написана на ассемблере.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) вторник, 7 июля 2009 г.
Описание обновил Petre Galan в(о) понедельник, 17 августа 2009 г.

Назад . . . .