English
Deutsch
Home
Virus Info
Worm/Agent.ax
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Agent.ax - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/Agent.ax
Обнаружен:
04/05/2007
Вид:
Червь
В реальных условиях:
Да
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Средний
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
196.608 байт.
Контрольная сумма MD5:
3ea03f98dcbdc2497e5f7d9ed9065f1f
Версия IVDF:
6.38.01.92
- Sat, 05 May 2007 11:55 (GMT+1)
Общее
Метод распространения:
• Email
Псевдонимы (аliases):
• Kaspersky: Email-Worm.Win32.Agent.ax
• F-Secure: Email-Worm.Win32.Agent.ax
• Grisoft: Agent.PGE
• Eset: Win32/Agent.NHE
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Использует собственный почтовый движок
• Изменение реестра
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создается собственная копия:
•
%SYSDIR%
\
%случайная буквенная комбинация%
.exe
Выполненная копия программы удаляется.
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
•
%случайная буквенная комбинация%
=
%случайная буквенная комбинация%
.exe
Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.
– [HKLM\SYSTEM\CurrentControlSet\Services\
%случайная буквенная комбинация%
]
• Type = 10
• Start = 2
• ErrorControl = 0
• ImagePath =
%SYSDIR%
\
%случайная буквенная комбинация%
.exe /service
• DisplayName = Print Spooler Service
• ObjectName = LocalSystem
– [HKLM\SYSTEM\CurrentControlSet\Services\
%случайная буквенная комбинация%
\
Security]
• Security =
%шестнадцатиричное значение%
Email
Программа обладает собственным SMTP ядром для рассылки спама. Для этого устанавливается прямое соединение с сервером. Подробности приведены здесь:
От:
Собранные в Интернет адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.
Кому:
– Собранные в Интернете адреса.
Backdoor
Устанавливает соединение с сервером
Все последующие:
• **********:447 (TCP)
• **********:447 (UDP)
После установления соединения вызывается дополнительный список серверов.
В результате обеспечиваются функции скрытого удаленного управления.
Возможности удаленного контроля:
• Отправить электронную почту
• Относительно спама
Разное
Мьютекс:
Создается мьютекс:
• 558125581
Данные файла
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
Краткое описание см.
здесь
.
Описание добавлено: Andrei Gherman Wed, 19 Mar 2008 10:53 (GMT+1)
Описание обновлено: Andrei Gherman Wed, 19 Mar 2008 11:20 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Netsky.HB
Worm/Netsky.D.Dam
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Mytob.NT
Halifax 26
TR/Vundo.GJ
TR/Agent.Abt.3
Halifax 25
TR/Dldr.PurityScan.FK
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Agent.ax
Print this page
.gif)
