Зайцев Олег
26.11.2004, 12:52
Сегодня обнаружен новый вид Backdoor.Agent.
Файл имеет длинну 59904 байта и имя qwe1316.dll.
По структуре файл является BHO для Internet Explorer, его CLSID в реестре - {CF021F40-3E14-23A5-CBA2-717177651316}'. Антивирусы его пока не детектируют ...
Кроме qwe1316.dll на диске можно обнаружить qwe1316.ini и qwe1316.tmp (они создаются qwe1316.dll при запуске).
Визуального проявления qwe1316.dll не имеет, стартует при запуске браузера и работает в его контексте (как, собственно, и положено BHO) - при анализе процесса iexplorer.exe ожно видеть эту DLL в писке библиотек, загруженных процессом.
Обновление AVZ от 26.11.2004 ловит это безобразие - http://z-oleg.com/secur/avz/avz-26112004.zip
Файл имеет длинну 59904 байта и имя qwe1316.dll.
По структуре файл является BHO для Internet Explorer, его CLSID в реестре - {CF021F40-3E14-23A5-CBA2-717177651316}'. Антивирусы его пока не детектируют ...
Кроме qwe1316.dll на диске можно обнаружить qwe1316.ini и qwe1316.tmp (они создаются qwe1316.dll при запуске).
Визуального проявления qwe1316.dll не имеет, стартует при запуске браузера и работает в его контексте (как, собственно, и положено BHO) - при анализе процесса iexplorer.exe ожно видеть эту DLL в писке библиотек, загруженных процессом.
Обновление AVZ от 26.11.2004 ловит это безобразие - http://z-oleg.com/secur/avz/avz-26112004.zip