Nume:TR/Dldr.Agent.beti.3
Descoperit pe data de:29/05/2009
Tip:Troian
Subtip:Downloader
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu spre ridicat
Fisier static:Da
Marime:9.792 Bytes
MD5:c4c973cfdd2ffdcb847e07df55fdec43
Versiune IVDF:7.01.04.35 - Friday, May 29, 2009

 General    •  Mcafee: Dropper.ek
   •  Sophos: Mal/Mdrop-L
   •  Panda: Trj/Downloader.VYP
   •  Grisoft: Downloader.Agent.AULX
   •  Eset: Win32/TrojanDownloader.Small.OOV


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Descarca fisiere malware
   • Creeaza un fisier malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %TEMPDIR%\%combinatie de caractere aleatoare%



Sterge copia initiala a virusului.

– %TEMPDIR%\1.txt (0 bytes)
– %TEMPDIR%\nckdta.sys (1344 bytes) Analiza ulterioara a relevat ca si acest fisier este malware.



Incearca sa descarce cateva fisiere:

– Adresele sunt urmatoarele:
   • http://files850362.net/b2b/**********
   • http://files850362.net/b2b/load/**********
   • http://files850362.net/b2b/load/**********
In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]
   • "Type"=dword:00000001
      "Start"=dword:00000003
      "ErrorControl"=dword:00000000
      "ImagePath"= "\??\%TEMPDIR%\nckdta.sys"
      "DisplayName"="nckdta nckdta"



Se sterge urmatoarea cheie din registri, inclusiv toate valorile si cheile subordnate:
   • [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]



Se adauga in registrii sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]
   • "nckdta"=%numar%

 Detaliile fisierului Limbaj de programare:
 Aces program malware a fost scris în limbaj de asamblare.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Tuesday, July 7, 2009
Description updated by Petre Galan on Monday, August 17, 2009

Back . . . .