Nume:TR/Drop.Agent.ahvf
Descoperit pe data de:25/02/2009
Tip:Troian
Subtip:Dropper
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:538.624 Bytes
MD5:b0bb51b66a38aa80dc26e514fab25feb
Versiune IVDF:7.01.02.78 - Wednesday, February 25, 2009

 General Alias:
   •  Mcafee: W32/Spybot.worm.gen virus
   •  Sophos: Mal/Generic-A
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/Boberog.K
   •  Bitdefender: Trojan.Generic.1448179


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\wmisys.exe



Suprascrie urmatoarele fisiere.
– %WINDIR%\inf\1394.PNF
– %WINDIR%\inf\1394vdbg.PNF



Sterge copia initiala a virusului.



Sunt create fisierele:

– C:\netsf_m.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %WINDIR%\inf\netsf_m.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %WINDIR%\inf\netsf.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– C:\netsf.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %SYSDIR%\drivers\ndisvvan.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dropper.Gen

– C:\msrwt.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.PEPM.Gen

– C:\Documents and Settings\LocalService\onk.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.PEPM.Gen

– %SYSDIR%\drivers\sysdrv32.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Hacktool.Tcpz.A




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://195.149.74.40/css/**********
Analiza ulterioara a relevat ca si acest fisier este malware.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\WMISYS]
   • "Description"="Spools WMI applications."
   • "DisplayName"="WMI System App"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\wmisys.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Urmatoarea cheie din registri este modificata:

– [HKLM\SYSTEM\CurrentControlSet\Control]
   Noua valoare:
   • "WaitToKillServiceTimeout"="7000"

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Monday, November 16, 2009
Description updated by Andrei Ivanes on Monday, November 23, 2009

Back . . . .