Полное описание

Имя:	TR/Drop.Agent.avam
Обнаружен:	26/10/2009
Вид:	Троянская программа
Подвид:	Dropper
В реальных условиях:	Да
Отмеченные факты заражения:	Средний
Потенциал распространения:	Низкий
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	745.472 байт.
Контрольная сумма MD5:	0C59eadc2628f66819ee0F76f5eeb910
Версия IVDF:	7.01.04.220 - суббота, 11 июля 2009 г.

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Kaspersky: Trojan.Win32.Obfuscated.whl
   • Sophos: W32/IRCBot-ADJ
   • Panda: Bck/Mircbased.BT
   • Eset: IRC/Cloner.BX trojan
   • Bitdefender: Trojan.AgentMB.ITGL3168337

Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Отключение приложений безопасности
   • Создает файлы
   • Создает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создаются собственные копии:
   • %PROGRAM FILES%\Microsoft Office\OFFICE11\ WINWORD.EXE
   • %PROGRAM FILES%\Microsoft Office\OFFICE11\services.exe
   • %Start Menu%\Programs\Startup\Adobe Gamma Loader.com

Создается следующая директория:
   • %PROGRAM FILES%\Microsoft Office\OFFICE11

Создаются следующие файлы:

– %PROGRAM FILES%\Microsoft Office\OFFICE11\Drvics32.dll Содержит используемые вредоносным ПО параметры
– %PROGRAM FILES%\Microsoft Office\OFFICE11\hjwgsd.dll Содержит используемые вредоносным ПО параметры
– %PROGRAM FILES%\Microsoft Office\OFFICE11\jwiegh.dll Содержит используемые вредоносным ПО параметры
– %PROGRAM FILES%\Microsoft Office\OFFICE11\remote.ini Содержит используемые вредоносным ПО параметры
– %PROGRAM FILES%\Microsoft Office\OFFICE11\ruimsbbe.dll Содержит используемые вредоносным ПО параметры
– %PROGRAM FILES%\Microsoft Office\OFFICE11\control.ini Содержит используемые вредоносным ПО параметры
– %PROGRAM FILES%\Microsoft Office\OFFICE11\PUB60SP.mrc Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: WORM/IrcBot.7385.A

– %PROGRAM FILES%\Microsoft Office\OFFICE11\yofc.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: IRC/Zapchast.YF

– %PROGRAM FILES%\Microsoft Office\OFFICE11\smss.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Spy.576628.2

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe, %PROGRAM FILES%\Microsoft Office\OFFICE11\services.exe"

Удаляются значения следующего ключа реестра:

– [HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings]
   • "ProxyServer"
   • "ProxyOverride"
   • "AutoConfigURL"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   %all registry keys%]
– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
   %all registry keys%]

Добавляются следующие ключи реестра:

– [HKCR\exefile]
   • "NeverShowExt"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Acha.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\registry.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\AmyMastura.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\csrsz.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\SMSSS.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\lsasc.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\BabyRina.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wscript.exe]
   • "Debugger"="rundll32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\cscript.exe]
   • "Debugger"="rundll32.exe"

– [HKLM\SOFTWARE\Microsoft\Security Center\Svc]
   • "AntiVirusDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "FirstRunDisabled"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "UacDisableNotify"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "EnableLUA"=dword:00000000

Изменяются следующие ключи реестра:

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Новое значение:
   • "ShowSuperHidden"="0x0"
   • "SuperHidden"="0x0"

Различные настройки Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Новое значение:
   • "CheckedValue"=dword:00000000
   • "UncheckedValue"=dword:00000000
   • "DefaultValue"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Новое значение:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "FirstRunDisabled"=dword:00000001
   • "UacDisableNotify"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Новое значение:
   • "Type"=dword:00000004
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Новое значение:
   • "Type"=dword:00000004
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\WinDefend]
   Новое значение:
   • "Type"=dword:00000004
   • "Start"=dword:00000004

IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: irc.dal.net
Порт: 6667
Имя: Gold_girXls

Разное Связывается со следующими веб-сайтами для проверки установленного Интернет-соединения:
   • www.tourism.gov.my
   • www.miti.gov.my
   • www.putera.com

Технология Rootkit Скрывает следующее:
– Собственные файлы

Данные файла Язык программирования:
Программа была написана на Visual Basic.

Описание добавил Raluca Georgescu в(о) понедельник, 26 октября 2009 г.
Описание обновил Andrei Ivanes в(о) вторник, 27 октября 2009 г.

Назад . . . .

Популярная защита для домашних ПК

Бесплатные продукты

Наиболее популярные продукты

Все продукты

Пакетные решения

Рабочие станции

Server

Пакетные решения

Почтовые шлюзы

Сетевые шлюзы

Коллективные платформы

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты