English
Deutsch
Français
Español
Italiano
Home
Virus Info
TR/Dldr.Agent.gcx
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TechBlog
TR/Dldr.Agent.gcx - Trojan
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
TR/Dldr.Agent.gcx
Обнаружен:
24/10/2008
Вид:
Троянская программа
Подвид:
Downloader
В реальных условиях:
Да
Отмеченные факты заражения:
Средний
Потенциал распространения:
Высокий
Потенциал повреждений:
Высокий
Файл статистики:
Нет
Размер файла:
~ 360.000 байт.
Версия IVDF:
7.00.07.81
Общее
Метод распространения:
• Локальная сеть
Псевдонимы (аliases):
• Mcafee: Spy-Agent.da trojan
• Kaspersky: Trojan-Downloader.Win32.Agent.alce
• F-Secure: Trojan-Downloader.Win32.Agent.alce
• Sophos: Troj/Gimmiv-A
• Bitdefender: Win32.Worm.Gimmiv.A
Операционные системы:
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Загружает вредоносного файл
• Создает потенциально опасный файл
• Похищает информацию
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создаются следующие файлы:
–
%SYSDIR%
\wbem\sysmgr.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Agent.gcx
–
%TEMPDIR%
\
%случайная комбинация букв из восьми букв%
.bat Данный batch-файл используется для удаления файла.
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– [HKLM\SYSTEM\ControlSet001\Services\sysmgr\Parameters]
• "ServiceDll"=
%SYSDIR%
\
%malware dll%
• "ServiceMain"="ServiceMainFunc"
Добавляется следующий ключ реестра:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
• "sysmgr"=
%шестнадцатиричное значение%
Backdoor
Устанавливает соединение с сервером
Один из следующих:
• 212.227.93.146
• 64.233.189.147
• 202.108.22.44
В результате может пересылаться информация. Соединение периодически регулярно повторяется. Это происходит с помощью HTTP GET запроса PHP скрипта.
Передает информацию о:
• Добавить/Удалить список программ
• Имя компьютера
• Информация о сети
• Полученная из похищенного блока информация
• Имя пользователя
• Информация об операционной системе Windows
Кража
Попытка кражи следующей информации:
– Пароли следующих программ:
• Outlook Express
• MSN Messenger
• Protected Storage
Данные файла
Язык программирования:
Программа была написана на MS Visual C++.
Краткое описание см.
здесь
.
Описание добавлено: Thomas Wegele Fri, 24 Oct 2008 07:24 (GMT+1)
Описание обновлено: Alexander Vukcevic Fri, 24 Oct 2008 09:13 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
HTML/Crypted.Gen
ADSPY/AdSpy.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/Dldr.Bredolab.AX
APPL/Tool.EvID4226
Get comfortable up to the minute info from Avira as
Detects and removes distinct malware and its variants.
Download here
Click
here
to get the panel...
© 2009 Avira GmbH
Copyright
|
Privacy
|
Sitemap
|
Feedback
|
Imprint
|
FAQ
|
Contact
Virus Info TR/Dldr.Agent.gcx
Print this page
.gif)
