TR/Dldr.Agent.awg.4 - Trojan

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	TR/Dldr.Agent.awg.4
Обнаружен:	10/10/2006
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	35.328 байт.
Контрольная сумма MD5:	cd0B92cc20d1cd6b308077431bc1f8cd
Версия VDF:	6.36.00.87
Версия IVDF:	6.36.00.103

Общее Псевдонимы (аliases):
   • Kaspersky: Trojan-Downloader.Win32.Agent.awg
   • Sophos: Troj/CarLoad-B
   • Bitdefender: Trojan.Downloader.Agent.AOV

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Загружает файлы
   • Создает потенциально опасный файл
   • Изменение реестра
   • Похищает информацию

Файлы Создается файл:

– %SYSDIR%\srvc.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Agent.awg.4

Попытка загрузки следующих файлов:

– Следующий URL:
• http://bebbedaacfefbde.com/b/**********
Файл может содержать адреса для загрузки дополнительных источников возможных угроз.

– Следующий URL:
• %URL из загруженного файла%
Сохраняется локально в: %TEMPDIR%\%случайная буквенная комбинация%.tmp Данный файл запускается на выполнение после его полной загрузки.

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   WLogon
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000001
   • "StartShell"="Entry"
   • "DllName"="srvc.dll"

Backdoor Устанавливает соединение с сервером
Следующий:
• http://bebbedaacfefbde.com/b/**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Для этого служит метод HTTP POST с применением PHP скриптов.

Передает информацию о:
• Имя компьютера

Инфицирование – Следующий файл вставляется в процесс: %SYSDIR%\srvc.dll

    Имя процесса:
   • %WINDIR%\Explorer.EXE

   При успешном выполнении вредоносная программа завершается. Инфицированная часть остается при этом активной.

Разное Связывается со следующим веб-сайтом для проверки установленного Интернет-соединения:
• http://microsoft.com

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• ASPack

Краткое описание см. здесь.

Описание добавлено: Bogdan Iliuta Fri, 10 Nov 2006 10:56 (GMT+1)
Описание обновлено: Bogdan Iliuta Mon, 20 Nov 2006 14:28 (GMT+1)

» О вредоносном ПО
» О фишинге
» В список опасных вирусов

« назад