Имя:TR/Agent.rkx
Обнаружен:20/08/2009
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:84.992 байт.
Контрольная сумма MD5:73d8d7bc5112e434752e1be710ca25ea
Версия IVDF:7.01.05.139 - четверг, 20 августа 2009 г.

 Общее Метод распространения:
• Autorun feature (ru)


Псевдонимы (аliases):
   •  Sophos: Mal/EncPk-JU
   •  Panda: W32/Ircbot.CKA
   •  Eset: Win32/IRCBot
   •  Bitdefender: Backdoor.Bot.104820


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создаются собственные копии:
   • %SYSDIR%\netmon.exe
   • %Диск%\strongkey-rc1.3-build-208.exe



Выполненная копия программы удаляется.



Создается файл:

%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   •

%SYSDIR%\drivers\sysdrv32.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Hacktool.Tcpz.A

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32]
   • "DisplayName"="Play Port I/O Driver"
   • "ErrorControl"=dword:0x00000001
   • "Group"="SST wanport drivers"
   • "ImagePath"="\??\%SYSDIR%\drivers\sysdrv32.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "netmon"="%SYSDIR%\netmon.exe"



Добавляются следующие ключи реестра:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\netmon]
   • "@"="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\netmon]
   • "@"="Service"



Изменяется следующий ключ реестра:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Новое значение:
   • "%SYSDIR%\netmon.exe"="%SYSDIR%\netmon.exe:*:Disabled:netmon"

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: ni**********.com
Порт: 4545
Канал: #tex
Имя: [00-USA-XP-%Число%]

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) вторник, 9 февраля 2010 г.
Описание обновил Petre Galan в(о) вторник, 9 февраля 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.