Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:BDS/Agent.blcr
Обнаружен:07/07/2011
Вид:Backdoor сервер
В реальных условиях:Нет
Отмеченные факты заражения:Средний
Потенциал распространения:Низкий
Потенциал повреждений:Низкий
Файл статистики:Да
Размер файла:185.440 байт.
Контрольная сумма MD5:38754b086fa45391ddecaa8e7d9a1c0d
Версия VDF:7.11.11.27 - четверг, 7 июля 2011 г.
Версия IVDF:7.11.11.27 - четверг, 7 июля 2011 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Backdoor.Win32.Agent.blcr
   •  Eset: Win32/Adware.GabPath.CD


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Последствия:
   • Загружает вредоносные файлы
   • Изменение реестра

 Файлы  Удаляется следующий файл:
   • %TEMPDIR%\MNUpdater.prod.v5706.10072011.exe.5ba56657ad8aa8507be65fffc1395acf



Создается файл:

%TEMPDIR%\Update.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: ADWARE/Agent.Gaba.gew




Попытка загрузки следующих файлов:

– Следующий URL:
   • http://216.**********.153/gpupd.php?VER=**********&mac=DEFAULT


– Следующий URL:
   • http://clients.mi**********ral.com/mnup.php?HWID=**********
Данный файл запускается на выполнение после его полной загрузки. Файл может содержать адреса для загрузки дополнительных источников возможных угроз.

– Следующий URL:
   • http://clients.mi**********ral.com/**********MNUpdater.prod.v5**********072011.exe.5ba5**********5acf
Сохраняется локально в: %TEMPDIR%\MNUpdater.prod.v5706.10072011.exe.5ba56657ad8aa8507be65fffc1395acf Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: ADWARE/Agent.Gaba.gew

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "updchecker"="%Рабочая папка вредоносной программы%\\%malware exe%.exe"

 Данные файла Язык программирования:
Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Jason Soo в(о) понедельник, 11 июля 2011 г.
Описание обновил Jason Soo в(о) понедельник, 11 июля 2011 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.