Backdoor.Win32. Agent.abgg

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Программа является приложением Windows (PE EXE-файл). Имеет размер 22528 байт.

Инсталляция

После запуска троянец копирует свое тело в системный каталог Windows под именем "digeste.dll":

%System%\digeste.dll

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\System\CurrentControlSet\Control\SecurityProviders]
"SecurityProviders" = "digeste.dll"

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем "_SYSTEM_F2A5DE7_".

Деструктивная активность

Бэкдор запускает системный процесс "svchost.exe" и внедряет в него часть своего вредоносного кода, который детектируется Антивирусом Касперского как Backdoor.Win32.Small.gra. Данный вредоносный код отправляет в http-запросе на сервер злоумышленника следующую информацию:

http://213.155.6.*****e/controller.php?action=bot&entity_list=&uid=1&first=1&guid=1886890347&rnd=758689

где "uid" — статически заданное значение "1", "guid" — серийный номер диска, "rnd" — случайное число, "first" — флаг первого запуска (если запуск первый, то значение "1", если нет, то "0").

В ответ получает сценарий дальнейшей работы бэкдора. Лог своей работы сохраняет в каталоге Windows под именем "wiaserviv.log":

%WinDir%\wiaserviv.log

На момент создания описания сервер злоумышленника был недоступен.