Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:Rkit/Agent.nfi
Descoperit pe data de:27/04/2009
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:39.936 Bytes
MD5:02e1df5942f45880e7aae5adca701e6a
Versiune IVDF:7.01.03.113 - luni, 27 aprilie 2009

 General Metoda de raspandire:
• Functia autorun


Alias:
   •  Panda: W32/Autorun.JOO
   •  Eset: Win32/AutoRun.Agent.SD
   •  Bitdefender: Worm.Generic.84374


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\system.exe
   • %unitate disc%\system.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

%unitate disc%\AutoRun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\AutoRun.vbs Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%SYSDIR%\drivers\Drver.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Rkit/Agent.nfi

%SYSDIR%\syste2.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Citeary.B.3

%SYSDIR%\syste9.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Rkit/Agent.nfi




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://ddl.754245.com/05/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\CHoook]
   • "DisplayName"="CHoook"
   • "ErrorControl"=dword:0x00000001
   • "ImagePath"="\??\%SYSDIR%\Drivers\Drver.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "system"="%SYSDIR%\system.exe"

 Terminarea proceselor Lista cu procesele oprite:
   • egui.exe
   • ekrn.exe


 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Metoda folosita:

Se ataseaza la urmatoarea functie API:
   • NtCreateProcessEx

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Friday, February 12, 2010
Description updated by Petre Galan on Friday, February 12, 2010

Back . . . .