Win32/Agent.BEA

Created: 2010-06-10, 10:19:45
Last updated on: 2010-06-10, 10:19:45

Platform: Win32 Type: trojan Size: 40448
Date: 2008-12-12

Изложени на опастно операционни системи: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000 all...
Не изложение на опастност операционни системи: Windows 3.xx, DOS, Linux, Unix, Solaris all... 

Naming

Различните антивирусни приложения използват различни имена за индивидуалните вируси и червеи. Понякога един антивирусен продукт разпознава едни и същи злонамерени кодове изпозлозвайки различи имена за различните копия или различните вируси и червеи разпознавайки ги с едно и също име. Информационният лист долу съдържа имената за злонамерените кодове предоставени от най-известните антивирусни продукти. Имената могат да се променят използвайки различните версии на един и същ антивирусен продукт.
Имената за Win32/Agent.BEA trojan дадени от антивирусните приложения:
  • Win32:Agent-LMG (Avast)
  • SHeur.CREY (AVG)
  • TR/Agent.aqo.63 (Avira)
  • Trojan.Generic.1227741 (BitDefender)
  • Win32/Cropo.C (e-Trust)
  • W32/Downloader_Small.B!Gen (F-PROT)
  • W32/Alureon.fam!tr (Fortinet)
  • Packed:W32/TDSS.gen!F (F-Secure)
  • Trojan.Win32.Alureon (Ikarus)
  • Trojan.Win32.Small.yre (Kaspersky)
  • DNSChanger.ac (McAfee)
  • Win32/Agent.BEA (NOD32 (ESET))
  • Trojan:Win32/Cropo.gen!A (Microsoft)
  • Downloader (Norton Antivirus)
  • Generic Trojan (Panda)
  • Trojan.Proxy.Win32.Agent.mh (Rising Antivirus)
  • Troj/Agent-GMX (Sophos)
  • WORM_ALUREON.DEN (Trend Micro)
  • Trojan.Alureon.Gen!Pac (VirusBuster)

Инсталация

Основната цел на вирусите и червеите разпространяващи се по Интернет и локални мрежи е да ифектират други компютри. След зарязяването злонамереният код може да промени системата и след рестартиране злонамереният код може да бъде разпространен. За тази цел злонамереният код обикновенно създава файлове в оперативната системна област и променя регистрите. Според тази модификация на регистрите операционната система ще изпълни злонамереният код. Освен това е възможно да се създадат файлове в друга област (директория) на файловата система. Също така е възможно вирусите и червеите да създадът AUTORUN.INF файлове в главните директории на устройствата. В такъв случай - според стандартните настройки на Windows - то автомаатично изпълнява злонамереният код след като потребителят отвори главната директория на даденото устройство.

The Win32/Agent.BEA trojan в Windows директорията (по подразбиране: C:\Windows) creates the vmmreg32.exe file.

The Win32/Agent.BEA trojan в Windows System32 директорията (по подразбиране: C:\Windows\System32) creates the rasphone.dll file.


image image

Win32/Agent.BEA trojan създава следните записи в регистрите:

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Microsoft Visual Studio"="C:\WINDOWS\vmmreg32.exe"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="C:\WINDOWS\system32\rasphone.dll"

image image

 

Backdoor

Вирусите и червеите често отварят задни врати на атакуваният компютър. Така хакерът може да поеме пълният контрол над машината и така той/тя може да направи каквото си поиска на компютъра: стартира или спира програми и приложения, качва или сваля файлове, краде пароли и рaзрешава достъп.