W32/Agent.bu

نوع : اسب تروا
اندازه : ۱۲۶۶۰ بایت
محيطهاي قابل اجرا : Windows98, 95, Me, 2000, Xp, NT
نامهاي ديگر :

Trojan-Proxy.Win32.Agent.da ( Kaspresky ) W32.Buchon.A@mm (Norton)

خصوصيات :

1) يک Backdoor بر روي پورت 28000 - 28500   TCP ايجادکرده و به کامپيوتر آلوده اجازه ميدهد که بعنوان يک منتشر کننده نامه هايالکترونيکي عمل کند.

2) از طريق SMTP Engine که در ويروس وجود دارد Email هاي آلوده با مشخصات زير ارسال ميکند :

2-1) ساختار mail ارسالي توسط ويروس به اين شرح است :

از :

◊ [spoofed] email address taken at random from an email address collected from computer

عنوان :

◊ Mail Delivery failure - [email_address@domain.com]

بدنه :

If the message will not displayed automatically, you can check original in attached message.txt.

Failed message also saved at: www.[domain.com]/inbox/security/read.asp?sessionid-(random 4 digit number)
(check attached instructions)

نام فايلهاي ضميمه :

◊ "message txt (random number of spaces) mcafee.com"


2-2) آدرس مقاصد مورد نظر را از درونفايلهايي با پسوند هاي زير جستجو ميکند :


.dat .dbx .eml .mbx .mdb
.tbb .wab

3) فايلهاي زير را ايجاد ميکند :

◊ %root%\csrss.exe

 

Copyright © 1994-2008 Imen Computer Virology Laboratory (I.C.V.L.).
All Rights Reserved. Mehran Rayaneh Engineering Co.