Описание на компютърни инциденти и злонамерен софтуер

Описание на компютърни заплахи и злонамерен софтуер

Agent.BTZ

2013-02-26

Наричан още: Worm:W32/Agent.BTZ

Категория: Malware

Параметри: Платформа: W32

Кратко описание

Червеите са компютърни програми, които се саморепликират като се копират в други системи.

Подробно описание

Промени във файловата система

Създава следните файлове:

%windir%\system32\muxbde40.dll
%windir%\system32\winview.ocx
%temp%\6D73776D706461742E746C62FA.tmp
%windir%\system32\mswmpdat.tlb

Мрежова активност

Опитва се да свали файл от:

http://worldnews.ath.cx/update/img0008/[премахнато].jpg

Промени в регистъра

Поставя следните стойности:

HKLM\Software\Classes\CLSID\{FBC38650-8B81-4BE2-B321-EEFF22D7DC62} (default) = Java.Runtime.52

HKLM\Software\Classes\CLSID\{FBC38650-8B81-4BE2-B321-EEFF22D7DC62}\InprocServer32\ (default) = C:\WINDOWS\system32\muxbde40.dll

HKLM\Software\Classes\CLSID\{FBC38650-8B81-4BE2-B321-EEFF22D7DC62}\InprocServer32\ ThreadingModel = Apartment

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ UpdateCheck = {FBC38650-8B81-4BE2-B321-EEFF22D7DC62}

Създава следните ключове:

HKLM\Software\Microsoft\Windows\CurrentVersion\StrtdCfg
HKLM\Software\Classes\CLSID\{FBC38650-8B81-4BE2-B321-EEFF22D7DC62}
HKLM\Software\Classes\CLSID\{FBC38650-8B81-4BE2-B321-EEFF22D7DC62}\InprocServer32\

Допълнителна информация

Създава следните файлове:

Файловете "winview.ocx" и "mswmpdat.tlb" съдържат логовете на файловете и тяхното местоположение (където е инсталирана злонамерената програма). Съдържанието на тези файлове е криптирано.

Злонамерената програма е всъщност файла "muxbde40.dll".

Начини за разпространение

Червеят се разпространява като създава файла AUTORUN.INF в главната директория на всяко устройство със злонамерен .dll файл.

Съдържанието на файла е както следва:

[autorun]
open=
shell\open=Explore
shell\open\Command=rundll32.exe .\\[произволно].dll,InstallM
shell\open\Default=1
Забележка: [произволно] представлява произволното име, което е създало червея за dll.

Ако злонамерената програма разпознае нов партишън или USB устройство например, той го заразява веднага.

Ключовете в регистъра се използват, за да може червеят да се стартира при всяко зареждане на системата.