Nombre:TR/Dldr.Agent.beti.3
Descubierto:29/05/2009
Tipo:Troyano
Subtipo:Downloader
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-alto
Fichero estático:
Tamaño:9.792 Bytes
Suma de control MD5:c4c973cfdd2ffdcb847e07df55fdec43
Versión del IVDF:7.01.04.35 - viernes 29 de mayo de 2009

 General    •  Mcafee: Dropper.ek
   •  Sophos: Mal/Mdrop-L
   •  Panda: Trj/Downloader.VYP
   •  Grisoft: Downloader.Agent.AULX
   •  Eset: Win32/TrojanDownloader.Small.OOV


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Descarga ficheros dañinos
   • Suelta un fichero dañino
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %TEMPDIR%\%serie de caracteres aleatorios%



Elimina la copia inicial del virus.

%TEMPDIR%\1.txt (0 bytes)
%TEMPDIR%\nckdta.sys (1344 bytes) Los análisis adicionales indicaron que este fichero es también viral.



Intenta descargar algunos ficheros:

– Las direcciones son las siguientes:
   • http://files850362.net/b2b/**********
   • http://files850362.net/b2b/load/**********
   • http://files850362.net/b2b/load/**********
Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral.

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]
   • "Type"=dword:00000001
      "Start"=dword:00000003
      "ErrorControl"=dword:00000000
      "ImagePath"= "\??\%TEMPDIR%\nckdta.sys"
      "DisplayName"="nckdta nckdta"



Elimina la siguiente clave del registro, incluyendo todos sus valores y subclaves:
   • [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]



Añade la siguiente clave al registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]
   • "nckdta"=%número%

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Assembler.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el martes 7 de julio de 2009
Descripción actualizada por Petre Galan el lunes 17 de agosto de 2009

Volver . . . .