TR/Dldr.Agent.gcx - Trojan

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	TR/Dldr.Agent.gcx
Обнаружен:	24/10/2008
Вид:	Троянская программа
Подвид:	Downloader
В реальных условиях:	Да
Отмеченные факты заражения:	Средний
Потенциал распространения:	Высокий
Потенциал повреждений:	Высокий
Файл статистики:	Нет
Размер файла:	~ 360.000 байт.
Версия IVDF:	7.00.07.81

Общее Метод распространения:
   • Локальная сеть

Псевдонимы (аliases):
   • Mcafee: Spy-Agent.da trojan
   • Kaspersky: Trojan-Downloader.Win32.Agent.alce
   • F-Secure: Trojan-Downloader.Win32.Agent.alce
   • Sophos: Troj/Gimmiv-A
   • Bitdefender: Win32.Worm.Gimmiv.A

Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Загружает вредоносного файл
   • Создает потенциально опасный файл
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создаются следующие файлы:

– %SYSDIR%\wbem\sysmgr.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Agent.gcx

– %TEMPDIR%\%случайная комбинация букв из восьми букв%.bat Данный batch-файл используется для удаления файла.

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SYSTEM\ControlSet001\Services\sysmgr\Parameters]
   • "ServiceDll"=%SYSDIR%\%malware dll%
   • "ServiceMain"="ServiceMainFunc"

Добавляется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   • "sysmgr"=%шестнадцатиричное значение%

Backdoor Устанавливает соединение с сервером
Один из следующих:
   • 212.227.93.146
   • 64.233.189.147
   • 202.108.22.44

В результате может пересылаться информация. Соединение периодически регулярно повторяется. Это происходит с помощью HTTP GET запроса PHP скрипта.

Передает информацию о:
    • Добавить/Удалить список программ
    • Имя компьютера
    • Информация о сети
    • Полученная из похищенного блока информация
    • Имя пользователя
    • Информация об операционной системе Windows

Кража Попытка кражи следующей информации:

– Пароли следующих программ:
   • Outlook Express
   • MSN Messenger
   • Protected Storage

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Краткое описание см. здесь.

Описание добавлено: Thomas Wegele Fri, 24 Oct 2008 07:24 (GMT+1)
Описание обновлено: Alexander Vukcevic Fri, 24 Oct 2008 09:13 (GMT+1)

» О вредоносном ПО
» О фишинге
» В список опасных вирусов

« назад