Name:TR/Dldr.Agent.beti.3
Entdeckt am:29/05/2009
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel bis hoch
Statische Datei:Ja
Dateigröße:9.792 Bytes
MD5 Prüfsumme:c4c973cfdd2ffdcb847e07df55fdec43
IVDF Version:7.01.04.35 - Freitag, 29. Mai 2009

 General    •  Mcafee: Dropper.ek
   •  Sophos: Mal/Mdrop-L
   •  Panda: Trj/Downloader.VYP
   •  Grisoft: Downloader.Agent.AULX
   •  Eset: Win32/TrojanDownloader.Small.OOV


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Lädt schädliche Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %TEMPDIR%\%zufällige Buchstabenkombination%



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

%TEMPDIR%\1.txt (0 bytes)
%TEMPDIR%\nckdta.sys (1344 bytes) Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.



Es wird versucht die folgenden Dateien herunterzuladen:

– Die URLs sind folgende:
   • http://files850362.net/b2b/**********
   • http://files850362.net/b2b/load/**********
   • http://files850362.net/b2b/load/**********
Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]
   • "Type"=dword:00000001
      "Start"=dword:00000003
      "ErrorControl"=dword:00000000
      "ImagePath"= "\??\%TEMPDIR%\nckdta.sys"
      "DisplayName"="nckdta nckdta"



Alle Werte des folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]



Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]
   • "nckdta"=%Nummer%

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Assembler geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Dienstag, 7. Juli 2009
Die Beschreibung wurde geändert von Petre Galan am Montag, 17. August 2009

zurück . . . .