Win32/Agent.BEA

Created: 2010-06-10, 10:19:45
Last updated on: 2010-06-10, 10:19:45

Platforma: Win32 Typ: trojan Rozmiar: 40448
Data: 2008-12-12

Narażone systemy operacyjne: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000 wszystkie...
Nienarażone systemy operacyjne: Windows 3.xx, DOS, Linux, Unix, Solaris wszystkie...

Nazwa

Programy antywirusowe używają różnych nazw wirusów i robaków. Zdarza się, że program antywirusowy identyfikuje złośliwy program używając różnych nazw dla różnych odmian tego samego zagrożenia lub różne wirusy i trojany są identyfikowane tą sama nazwą. Poniższa lista zawiera nazwy zagrożenia nadane przez najbardziej popularne programy antywirusowe. Nazwy mogą się różnić w zależności od wersji programu.
Nazwy Win32/Agent.BEA trojan nadane przez programy antywirusowe:
  • Win32:Agent-LMG (Avast)
  • SHeur.CREY (AVG)
  • TR/Agent.aqo.63 (Avira)
  • Trojan.Generic.1227741 (BitDefender)
  • Win32/Cropo.C (e-Trust)
  • W32/Downloader_Small.B!Gen (F-PROT)
  • W32/Alureon.fam!tr (Fortinet)
  • Packed:W32/TDSS.gen!F (F-Secure)
  • Trojan.Win32.Alureon (Ikarus)
  • Trojan.Win32.Small.yre (Kaspersky)
  • DNSChanger.ac (McAfee)
  • Win32/Agent.BEA (NOD32 (ESET))
  • Trojan:Win32/Cropo.gen!A (Microsoft)
  • Downloader (Norton Antivirus)
  • Generic Trojan (Panda)
  • Trojan.Proxy.Win32.Agent.mh (Rising Antivirus)
  • Troj/Agent-GMX (Sophos)
  • WORM_ALUREON.DEN (Trend Micro)
  • Trojan.Alureon.Gen!Pac (VirusBuster)

Instalacja

Głównym celem wirusów i robaków rozprzetrzeniających się przez Internet i sieci lokalne jest infekcja innych komputerów. Po zainfekowaniu komputera złośliwe prgoramy mogą zmieniać system i po ponownym uruchomieniu komputera złośliwy kod może zostać uruchomiony i wykonany. Do tego celu złośliwe programy zwykle tworzą pliki w katalogach systemowych i zmieniają rejestr. Zgodnie ze zmianami w rejestrze, system operacyjny wykonuje złośliwy kod. Ponadto istnieje również możliwość tworzenia plików w innych katalogach niż systemowe. Z drugiej strony istnieje możliwość tworzenia przez wirusy i robaki plików AUTORUN.INF w katalogach głównych na dyskach twardych. W takim przypadku - zgodnie z domyślnymi ustawieniami systemu Windows - pliki automatycznie uruchamiają złośliwy kod podczas otwierania katalogu głównego przez użytkownika.

Win32/Agent.BEA trojan w katalogu Windows (domyślnie: C:\Windows) tworzy vmmreg32.exe file.

Win32/Agent.BEA trojan w katalogu systemowym Windows (domyślnie: C:\Windows\System32) tworzy rasphone.dll file.


image image

Win32/Agent.BEA trojan tworzy następujące wpisy w rejestrze:

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Microsoft Visual Studio"="C:\WINDOWS\vmmreg32.exe"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="C:\WINDOWS\system32\rasphone.dll"

image image

Backdoor

Viruses and worms usually open backdoors on the attacked computer. Thus they can fully control the machine by the attacker. In this case the attacker can do on the computer what he/she wants: programs and applications can be started or stopped, files can be uploaded or downloaded, passwords can be stolen, ...