Nume:TR/Drop.Agent.ahvf
Descoperit pe data de:25/02/2009
Tip:Troian
Subtip:Dropper
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:538.624 Bytes
MD5:b0bb51b66a38aa80dc26e514fab25feb
Versiune IVDF:7.01.02.78 - Mittwoch, 25. Februar 2009

 General Alias:
   •  Mcafee: W32/Spybot.worm.gen virus
   •  Sophos: Mal/Generic-A
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/Boberog.K
   •  Bitdefender: Trojan.Generic.1448179


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\wmisys.exe



Suprascrie urmatoarele fisiere.
– %WINDIR%\inf\1394.PNF
– %WINDIR%\inf\1394vdbg.PNF



Sterge copia initiala a virusului.



Sunt create fisierele:

– C:\netsf_m.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %WINDIR%\inf\netsf_m.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %WINDIR%\inf\netsf.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– C:\netsf.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %SYSDIR%\drivers\ndisvvan.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dropper.Gen

– C:\msrwt.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.PEPM.Gen

– C:\Documents and Settings\LocalService\onk.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.PEPM.Gen

– %SYSDIR%\drivers\sysdrv32.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Hacktool.Tcpz.A




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://195.149.74.40/css/**********
Analiza ulterioara a relevat ca si acest fisier este malware.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\WMISYS]
   • "Description"="Spools WMI applications."
   • "DisplayName"="WMI System App"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\wmisys.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Urmatoarea cheie din registri este modificata:

– [HKLM\SYSTEM\CurrentControlSet\Control]
   Noua valoare:
   • "WaitToKillServiceTimeout"="7000"

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Petre Galan am Montag, 16. November 2009
Die Beschreibung wurde geändert von Andrei Ivanes am Montag, 23. November 2009

zurück . . . .