Имя:TR/Drop.Agent.ahvf
Обнаружен:25/02/2009
Вид:Троянская программа
Подвид:Dropper
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:538.624 байт.
Контрольная сумма MD5:b0bb51b66a38aa80dc26e514fab25feb
Версия IVDF:7.01.02.78 - среда, 25 февраля 2009 г.

 Общее Псевдонимы (аliases):
   •  Mcafee: W32/Spybot.worm.gen virus
   •  Sophos: Mal/Generic-A
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/Boberog.K
   •  Bitdefender: Trojan.Generic.1448179


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Создает вредоносные файлы
   • Изменение реестра

 Файлы Создается собственная копия:
   • %SYSDIR%\wmisys.exe



Следующие файлы будут переписаны.
%WINDIR%\inf\1394.PNF
%WINDIR%\inf\1394vdbg.PNF



Выполненная копия программы удаляется.



Создаются следующие файлы:

– C:\netsf_m.inf Файл является безвредным текстовым файлом со следующим содержимым:
   •

%WINDIR%\inf\netsf_m.inf Файл является безвредным текстовым файлом со следующим содержимым:
   •

%WINDIR%\inf\netsf.inf Файл является безвредным текстовым файлом со следующим содержимым:
   •

– C:\netsf.inf Файл является безвредным текстовым файлом со следующим содержимым:
   •

%SYSDIR%\drivers\ndisvvan.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dropper.Gen

– C:\msrwt.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Crypt.PEPM.Gen

– C:\Documents and Settings\LocalService\onk.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Crypt.PEPM.Gen

%SYSDIR%\drivers\sysdrv32.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Hacktool.Tcpz.A




Попытка загрузки следующего файла:

– Следующий URL:
   • http://195.149.74.40/css/**********
Дальнейшие исследования выявили, что данный файл является вредоносной программой.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SYSTEM\CurrentControlSet\Services\WMISYS]
   • "Description"="Spools WMI applications."
   • "DisplayName"="WMI System App"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\wmisys.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Изменяется следующий ключ реестра:

– [HKLM\SYSTEM\CurrentControlSet\Control]
   Новое значение:
   • "WaitToKillServiceTimeout"="7000"

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) понедельник, 16 ноября 2009 г.
Описание обновил Andrei Ivanes в(о) понедельник, 23 ноября 2009 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.