English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/Agent.249856.B
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TR/Agent.249856.B - Trojan
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
TR/Agent.249856.B
Обнаружен:
26/03/2008
Вид:
Троянская программа
В реальных условиях:
Да
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Средний
Потенциал повреждений:
Средний
Файл статистики:
Нет
Размер файла:
~200.000 байт.
Версия VDF:
7.00.03.69
Версия IVDF:
7.00.03.74
Общее
Метод распространения:
• Email
Псевдонимы (аliases):
• Kaspersky: Trojan.Win32.Agent.gjp
• F-Secure: Trojan.Win32.Agent.gjp
• Bitdefender: Backdoor.Oderoor.BM
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Использует собственный почтовый движок
• Изменение реестра
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создается собственная копия:
•
%SYSDIR%
\
%случайная буквенная комбинация%
.exe
Реестр
Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
•
%случайная буквенная комбинация%
="
%SYSDIR%
\
%случайная буквенная комбинация%
.exe"
Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.
– [HKLM\SYSTEM\CurrentControlSet\Services\
%случайная буквенная комбинация%
]
• "Type"=dword:00000010
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="
%SYSDIR%
\
%случайная буквенная комбинация%
.exe /service"
• "DisplayName"="Print Spooler Service"
• "ObjectName"="LocalSystem"
Добавляется следующий ключ реестра:
– [HKLM\SYSTEM\CurrentControlSet\Services\
%случайная буквенная комбинация%
\
Security]
• "Security"=
%шестнадцатиричное значение%
Email
Программа обладает собственным SMTP ядром для рассылки спама. Для этого устанавливается прямое соединение с сервером. Подробности приведены здесь:
От:
Собранные в Интернет адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.
Кому:
– Собранные в Интернете адреса.
Backdoor
Открывается порт:
–
%случайная буквенная комбинация%
.exe по TCP порту 49500
Устанавливает соединение с сервером
Следующий:
• **********:447
Инфицирование
– Вставляется в процесс в качестве удаленного программного потока.
Имя процесса:
• winlogon.exe
Разное
Мьютекс:
Создается мьютекс:
• 2819717815
Данные файла
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
Краткое описание см.
здесь
.
Описание добавлено: Ernest Szocs Tue, 01 Apr 2008 10:56 (GMT+1)
Описание обновлено: Ernest Szocs Tue, 01 Apr 2008 12:22 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Bagle.FJ
W32/Elkern.C
Worm/Mytob.DH
Worm/Netsky.D.Dam
Worm/Lovgate.W
TR/Dldr.Agent.aizj
JS/Dldr.Small.CR.2
TR/Dldr.Agent.XAE
JS/Dldr.Agent.bbt
HTML/IFrame.800
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info TR/Agent.249856.B
Print this page
.gif)
