Name:Rkit/Agent.nfi
Entdeckt am:27/04/2009
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:39.936 Bytes
MD5 Prüfsumme:02e1df5942f45880e7aae5adca701e6a
IVDF Version:7.01.03.113 - Montag, 27. April 2009

 General Verbreitungsmethode:
• Autorun Dateien


Aliases:
   •  Panda: W32/Autorun.JOO
   •  Eset: Win32/AutoRun.Agent.SD
   •  Bitdefender: Worm.Generic.84374


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\system.exe
   • %Laufwerk%\system.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

%Laufwerk%\AutoRun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%Laufwerk%\AutoRun.vbs Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%SYSDIR%\drivers\Drver.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Rkit/Agent.nfi

%SYSDIR%\syste2.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Citeary.B.3

%SYSDIR%\syste9.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Rkit/Agent.nfi




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://ddl.754245.com/05/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SYSTEM\CurrentControlSet\Services\CHoook]
   • "DisplayName"="CHoook"
   • "ErrorControl"=dword:0x00000001
   • "ImagePath"="\??\%SYSDIR%\Drivers\Drver.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "system"="%SYSDIR%\system.exe"

 Prozess Beendigung Liste der Prozesse die beendet werden:
   • egui.exe
   • ekrn.exe


 Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.


Eingesetzte Methode:

Klinkt sich in folgende API-Funktion ein:
   • NtCreateProcessEx

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 12. Februar 2010
Die Beschreibung wurde geändert von Petre Galan am Freitag, 12. Februar 2010

zurück . . . .