Nume:TR/Drop.Agent.agla
Descoperit pe data de:26/02/2009
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Ridicat
Fisier static:Da
Marime:172.207 Bytes
MD5:d6614007059d24844269db6ef460e4d9
Versiune IVDF:7.01.01.239 - Freitag, 6. Februar 2009

 General Alias:
   •  Symantec: W32.SillyFDC
   •  Sophos: Mal/Generic-A
   •  Panda: W32/Lineage.KYR
   •  Eset: Win32/PSW.OnLineGames.NNU


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\kva8wr.exe
   • %unitate disc%\jbele1.com



Redenumeste urmatoarele fisiere:

    •  %directorul de activare malware% în c:\%fisier sau director existent%.vcd



Sterge copia initiala a virusului.



Sterge urmatorul fisier:
   • %SYSDIR%\drivers\cdaudio.sys



Poate afecta urmatorul fisier:
   • %SYSDIR%\drivers\cdaudio.sys



Sunt create fisierele:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %SYSDIR%\drivers\klif.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Rkit/Agent.4160

– %SYSDIR%\bgotrtu0.dll Detectat ca: TR/Vundo

– %SYSDIR%\uweyiwe0.dll Detectat ca: TR/Crypt.XPACK.Gen

%unitate disc%\lot.exe
– %SYSDIR%\ahnfgss0.dll
– %SYSDIR%\ahnsbsb.exe
– %SYSDIR%\ahnxsds0.dll



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://hjkio.com/xhg2/**********


– Adresa este urmatoarea:
   • http://kioytrfd.com/xhg2/**********

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "kvasoft"="%SYSDIR%\kva8wr.exe"



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SOFTWARE\System\CurrentControlSet\Services\KAVsys]
   • "Type"=dword:00000001
      "Start"=dword:00000001
      "ErrorControl"=dword:00000001
      "ImagePath"="\??\%SYSDIR%\drivers\klif.sys"
      "DisplayName"="KAVsys"



Urmatoarele chei din registri sunt modificate:

Diverse setari in Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Noua valoare:
   • "NoDriveTypeAutoRun"=dword:00000091

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Noua valoare:
   • "CheckedValue"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • "ShowSuperHidden"=dword:00000001
     "Hidden"=dword:00000002

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\uweyiwe0.dll


– Injecteaza o rutina care supravegheaza procesele intr-un alt proces.

    Numele procesului:
   • explorer.exe


 Tehnologie Rootkit  Ascunde urmatoarele:
– Propriul proces


Metoda folosita:
    • Ascuns de Master File Table (MFT)
    • Ascuns de Windows API
    • Ascuns de Interrupt Descriptor Table (IDT)

Die Beschreibung wurde erstellt von Petre Galan am Montag, 6. Juli 2009
Die Beschreibung wurde geändert von Petre Galan am Dienstag, 18. August 2009

zurück . . . .