TR/Lager.AD.2 - Trojan

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	TR/Lager.AD.2
Обнаружен:	02/03/2006
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	49.697 байт.
Контрольная сумма MD5:	f18ee93553c7ca4b51e015cbe337879d
Версия VDF:	6.33.01.34

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Symantec: Trojan.Abwiz
   • Mcafee: Downloader-ASH
   • Kaspersky: Packed.Win32.Tibs
   • TrendMicro: TROJ_ABWIZ.T

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Загружает файлы
   • Загружает вродоносный файл
   • Создает вредоносные файлы
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создается собственная копия:
• %SYSDIR%\taskdir.exe

Создаются следующие файлы:

– %SYSDIR%\comdlj32.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/RKit.Agent.BK

– %SYSDIR%\zlbw.dll

Попытка загрузки следующего файла:

– Следующий URL:
• http://216.255.179.235/**********
Сохраняется локально в: %SYSDIR%\~update.exe На момент проверки данная версия вредоносной программы была новой.

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "taskdir"="%SYSDIR%\taskdir.exe"

Добавляется следующий ключ реестра:

– [HKEY_CURRENT_USER]
   • "ColorTable19"=dword:%Шестнадцатиричное число%
   • "ColorTable19"=dword:%Шестнадцатиричное число%

Backdoor Устанавливает соединение с сервером
Один из следующих:
   • http://216.255.179.235/new/cntr/**********
   • http://216.255.179.235/new/cls/**********
   • http://69.50.171.172/n/**********
   • http://69.50.161.106/n/**********
   • http://69.50.184.194/n/**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Это происходит из-за использования методов HTTP GET и POST с применением PHP скрипта.
Ответ сервера записывается в следующий файл: %SYSDIR%\log.txt

Передает информацию о:
    • Имя компьютера
    • Текущий malware статус.

Возможности удаленного контроля:
    • Загрузить файл
    • Отправить электронную почту

Инфицирование – Следующий файл вставляется в процесс: comdlj32.dll

Имя процесса:
• %все активные процессы%

Разное Мьютекс:
Создается мьютекс:
• _alanchum

Технология Rootkit Скрывает следующее:
– Собственный процесс

Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX

Краткое описание см. здесь.

Описание добавлено: Iulia Diaconescu Fri, 03 Mar 2006 11:29 (GMT+1)
Описание обновлено: Iulia Diaconescu Mon, 27 Mar 2006 09:15 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back