Win32/Agent.BEA

Created: 2010-06-10, 10:19:45
Last updated on: 2010-06-10, 10:19:45

Platforma: Win32 Vrsta: trojan Veličina: 40448
Datum: 2008-12-12

Ugroženi operativni sustavi: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000 sve...
Operativni sustavi koji nisu ugroženi: Windows 3.xx, DOS, Linux, Unix, Solaris sve...

Imenovanje

Različiti antivirusni korisnički programi koriste različita imena za pojedine viruse i crve. Ponekad se dogodi da antivirusni program pri identifikaciji koristi različita imena kopija istog virusnog koda nekog malware-a, a ponekad se različiti virusi i crvi identificiraju pod istim nazivom. Dolje priložena informativna lista sadrži nazive zlonamjernih programa koje koriste najpopularniji antivirusni programi. Nazivi mogu varirati od verzije do verzije istog antivirusnog programa.
Nazivi koje za Win32/Agent.BEA trojan koriste različiti antivirusni programi:
  • Win32:Agent-LMG (Avast)
  • SHeur.CREY (AVG)
  • TR/Agent.aqo.63 (Avira)
  • Trojan.Generic.1227741 (BitDefender)
  • Win32/Cropo.C (e-Trust)
  • W32/Downloader_Small.B!Gen (F-PROT)
  • W32/Alureon.fam!tr (Fortinet)
  • Packed:W32/TDSS.gen!F (F-Secure)
  • Trojan.Win32.Alureon (Ikarus)
  • Trojan.Win32.Small.yre (Kaspersky)
  • DNSChanger.ac (McAfee)
  • Win32/Agent.BEA (NOD32 (ESET))
  • Trojan:Win32/Cropo.gen!A (Microsoft)
  • Downloader (Norton Antivirus)
  • Generic Trojan (Panda)
  • Trojan.Proxy.Win32.Agent.mh (Rising Antivirus)
  • Troj/Agent-GMX (Sophos)
  • WORM_ALUREON.DEN (Trend Micro)
  • Trojan.Alureon.Gen!Pac (VirusBuster)

Instalacija

Osnovna je namjera virusa i crva koji se šire Internetom i lokalnim mrežama zaraziti drugo računalo. Nakon što zarazi novo računalo, zlonamjerni program (malware) može izmjeniti računalni sustav na takav način da nakon ponovnog pokretanja računala (reboot) može biti pokrenut zlonamjerni kod. U tu svrhu malware uobičajeno kreira datoteke unutar operativnog sustava i mijenja njegov registar. Zahvaljujući izmjenama registra, operativni će sustav izvršiti i zlonamjerni kod. Uz navedeno, malware može kreirati datoteke i u drugim područjima interne računalne organizacije podataka. Također je moguće da virusi i crvi kreiraju AUTORUN.INF datoteke u korjenskoj (root) mapi diska. U ovom se slučaju, zahvaljujući standardnim postavkama Windows-a, instalirani malware automatski pokreće kada korisnik otvori korjensku mapu na takvom disku.

Win32/Agent.BEA trojan u Windows mapi (default: C:\Windows) kreira vmmreg32.exe datoteku..

Win32/Agent.BEA trojan u Windows System32 mapi (default: C:\Windows\System32) kreira rasphone.dll datoteku..


image image

Win32/Agent.BEA trojan kreira slijedeće upise u registar:

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Microsoft Visual Studio"="C:\WINDOWS\vmmreg32.exe"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="C:\WINDOWS\system32\rasphone.dll"

image image

Backdoor napadi

Virusi i crvi na napadnuto računalo uobičajeno stižu prikrivenim putem, instalirajući backdoor pristup u cilju prikrivanja tragova napada i infiltracije. Time je napadaču omogućena potpuna kontrola zaraženog računala, te na njemu može raditi što god poželi: programi i aplikacije mogu se pokretati ili zaustavljati, datoteke se mogu slati na Internet ili preuzimati s njega, moguće je ukrasti lozinke...