¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Rkit/Agent.nfi
Descubierto:27/04/2009
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:39.936 Bytes
Suma de control MD5:02e1df5942f45880e7aae5adca701e6a
Versin del IVDF:7.01.03.113 - lunes 27 de abril de 2009

 General Mtodo de propagacin:
Autorun feature (es)


Alias:
   •  Panda: W32/Autorun.JOO
   •  Eset: Win32/AutoRun.Agent.SD
   •  Bitdefender: Worm.Generic.84374


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero daino
   • Suelta ficheros dainos
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %SYSDIR%\system.exe
   • \system.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

\AutoRun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

\AutoRun.vbs Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

%SYSDIR%\drivers\Drver.sys Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Rkit/Agent.nfi

%SYSDIR%\syste2.dll Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Citeary.B.3

%SYSDIR%\syste9.dll Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Rkit/Agent.nfi




Intenta descargar un fichero:

La direccin es la siguiente:
   • http://ddl.754245.com/05/**********
Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKLM\SYSTEM\CurrentControlSet\Services\CHoook]
   • "DisplayName"="CHoook"
   • "ErrorControl"=dword:0x00000001
   • "ImagePath"="\??\%SYSDIR%\Drivers\Drver.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



Aade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "system"="%SYSDIR%\system.exe"

 Finalizacin de los procesos Listado de los procesos finalizados:
   • egui.exe
   • ekrn.exe


 Tecnologa Rootkit Es una tecnologa especfica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Mtodo empleado:

Engancha la siguiente funcin API:
   • NtCreateProcessEx

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el viernes 12 de febrero de 2010
Descripción actualizada por Petre Galan el viernes 12 de febrero de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.