Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Backdoor.Win32.Agent.affe

Backdoor.Win32.Agent.affe

Время детектирования	01 апр 2009 16:56 MSK
Время выпуска обновления	01 апр 2009 20:38 MSK
Описание опубликовано	21 апр 2009 12:35 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является приложением Windows (PE-EXE файл). Имеет размер 20451 байт. Написана на С++.

Инсталляция

После запуска троянец определяет имя учетной записи текущего пользователя и копирует свой исполняемый файл под следующим именем:

%Documents and Settings%\%Current User%\<current_user>.exe

где <current_user> – имя текущего пользователя. Также устанавливает файлу атрибут "cкрытый".

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<current_user>" = "%Documents and Settings%\%Current User%\<current_user>.exe /i"

Для контроля уникальности своего процесса в системе бэкдор создает уникальные идентификаторы с именами "abcd" и "ajsdoasjdoasjdasoidjaosdjoasjdaosijdsad".

Деструктивная активность

При помощи командной строки бэкдор добавляет свой оригинальный исполняемый файл в список доверенных приложений в брандмауэр Windows. Изменяет отображение стандартного системного курсора. Далее вредонос осуществляет HTTP запросы по URL вида:

http://<ip_адрес>/40E*****0303030303030303031306C 0000015166000000007600000642EB00053005162028

на следующие IP адреса:

94.247.2.***
74.54.77.***
74.54.135.***
97.74.115.***
75.125.238.***
68.178.255.***
92.62.101.***

В ответе от сервера содержатся данные в зашифрованном виде. Троянец расшифровывает полученные данные и сохраняет в виде отдельных файлов в каталоге хранения временных файлов текущего пользователя с именами:

%Temp%\BN<rnd>.tmp

где rnd – случайная цифробуквенная последовательность, например, "4E" или "39". Имена загруженных по ссылкам файлов отличаются от других временных файлов наличием двух первых заглавных латинских букв "BN". На момент создания описания загруженные файлы имеют размер 90112 байт и 32270 байт и соответственно детектируются Антивирусом Касперского как Trojan-Downloader.Win32.Agent.bhis и Trojan-Dropper.Win32.Agent.amea. После чего данные файлы запускаются троянцем на выполнение.

Затем выполняет внедрение своего вредоносного функционала в адресное пространство процессов "System" и "Explorer.exe". Также бэкдор пытается выполнить подключение к устройству с именем "ndis_ver2".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи ( "Диспетчера задач") завершить все троянские процессы с именами "<Сurrent_user>.exe ", "BN<rnd>.tmp".
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить параметр в ключе системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<current_user>" = "%Documents and Settings%\%Current User%\<current_user>.exe /i"
Удалить скрытый файл:
%Documents and Settings%\%Current User%\<current_user>.exe
Очистить каталог хранения временных файлов пользователя:
```
%Temp%\
```
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Backdoor

Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.

Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.

Другие модификации

Backdoor.Win32.Agent.abgg

Backdoor.Win32.Agent.amps

Backdoor.Win32.Agent.ampt

Backdoor.Win32.Agent.amrk

Backdoor.Win32.Agent.amru

Backdoor.Win32.Agent.aznj

Backdoor.Win32.Agent.b

Backdoor.Win32.Agent.bdhm

Backdoor.Win32.Agent.bhyr

Backdoor.Win32.Agent.jm

Backdoor.Win32.Agent.lw

Backdoor.Win32.Agent.nj

Backdoor.Win32.Agent.px

Backdoor.Win32.Agent.rcw

Backdoor.Win32.Agent.rnq

Backdoor.Win32.Agent.wja

Другие названия

Backdoor.Win32.Agent.affe («Лаборатория Касперского») также известен как:

Trojan: Cutwail.gen.a (McAfee)
Troj/Meredr-Fam (Sophos)
Trj/Downloader.MDW (Panda)
W32/Kobcka.A.gen!Eldorado (FPROT)
TrojanDownloader:Win32/Cutwail.AI (MS(OneCare))
Trojan.DownLoad.33390 (DrWeb)
Win32/Wigon.KA trojan (Nod32)
Trojan.Kobcka.HY (BitDef7)
Backdoor.Agent.IUVN (VirusBuster)
Win32:Agent-AERA [Trj] (AVAST)
Trojan-Downloader.Win32.Cutwail (Ikarus)
Small.BHF (AVG)
TR/Spammer.AC (AVIRA)
Trojan Horse (NAV)
W32/Agent.MICI (Norman)
Trojan.Win32.Nodef.hlz (Rising)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com