Nume:TR/Agent.rkx
Descoperit pe data de:20/08/2009
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:84.992 Bytes
MD5:73d8d7bc5112e434752e1be710ca25ea
Versiune IVDF:7.01.05.139 - Donnerstag, 20. August 2009

 General Metoda de raspandire:
• Functia autorun


Alias:
   •  Sophos: Mal/EncPk-JU
   •  Panda: W32/Ircbot.CKA
   •  Eset: Win32/IRCBot
   •  Bitdefender: Backdoor.Bot.104820


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\netmon.exe
   • %unitate disc%\strongkey-rc1.3-build-208.exe



Sterge copia initiala a virusului.



Este creat fisierul:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %SYSDIR%\drivers\sysdrv32.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Hacktool.Tcpz.A

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32]
   • "DisplayName"="Play Port I/O Driver"
   • "ErrorControl"=dword:0x00000001
   • "Group"="SST wanport drivers"
   • "ImagePath"="\??\%SYSDIR%\drivers\sysdrv32.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "netmon"="%SYSDIR%\netmon.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\netmon]
   • "@"="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\netmon]
   • "@"="Service"



Urmatoarea cheie din registri este modificata:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Noua valoare:
   • "%SYSDIR%\netmon.exe"="%SYSDIR%\netmon.exe:*:Disabled:netmon"

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: ni**********.com
Port: 4545
Canal: #tex
Nick: [00-USA-XP-%numar%]

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Petre Galan am Dienstag, 9. Februar 2010
Die Beschreibung wurde geändert von Petre Galan am Dienstag, 9. Februar 2010

zurück . . . .