Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:BDS/Agent.phs
Scoperto:20/05/2013
Tipo:Backdoor Server
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
File statico:Si
Dimensione del file:87040 Byte
Somma di controllo MD5:D8362A96F0F2920A82D8F41EC342A679
Versione VDF:7.11.79.102 - lunedì 20 maggio 2013
Versione IVDF:7.11.79.102 - lunedì 20 maggio 2013

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Downloader.Liftoh
   •  Mcafee: Atermis!D8362A96F0F2
   •  Kaspersky: BAckdoor.Win32.CPD.phs
   •  TrendMicro: WORM_KBFACe.QMU
   •  F-Secure: Gen:Variant.Symmi.21280
   •  Sophos: Troj/DwnLdr-KUW
   •  Bitdefender: Trojan.GenericKDV.1003140
   •  Avast: Win32,Agent-AREQ[Trj]
   •  Microsoft: Win32/Alureon.GC
   •  AVG: Downloader.Generic13.AUTC
   •  Eset: Win32/Gapz.E
   •  GData: Trojan.GenericKDV.1003140
   •  DrWeb: Trojan.Gapz.17
   •  Ikarus: Backdoor.Win32.CPD


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effetti secondari:
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %AllUsersProfile%\Application Data\%casuale%.exe

 Registro La seguente chiave di registro è aggiunta continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "%casuale%"="%allusersprofiles%\application data\%casuale%.exe"



Viene aggiunta la seguente chiave di registro:

– HKCU\SOFTWARE\%casuale%
   • "CurrentPath111"="%allusersprofiles%\application data\%casuale%.exe"

 Backdoor Contatta il server:
Uno dei seguenti:
   • r.gig**********bie.biz/images/gx.php
   • x.da**********io.su/images/gx.php

Questo è fatto tramite il metodo HTTP POST utilizzando uno script PHP.

Descrizione inserita da Soe-liang Tan su mercoledì 22 maggio 2013
Descrizione aggiornata da Soe-liang Tan su mercoledì 22 maggio 2013

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.