¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Rkit/Agent.nfi
Descubierto:27/04/2009
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:39.936 Bytes
Suma de control MD5:02e1df5942f45880e7aae5adca701e6a
Versión del IVDF:7.01.03.113 - lunes, 27 de abril de 2009

 General Método de propagación:
• Autorun feature (es)


Alias:
   •  Panda: W32/Autorun.JOO
   •  Eset: Win32/AutoRun.Agent.SD
   •  Bitdefender: Worm.Generic.84374


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\system.exe
   • \system.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

\AutoRun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

\AutoRun.vbs Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

%SYSDIR%\drivers\Drver.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Rkit/Agent.nfi

%SYSDIR%\syste2.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Citeary.B.3

%SYSDIR%\syste9.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Rkit/Agent.nfi




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://ddl.754245.com/05/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\CHoook]
   • "DisplayName"="CHoook"
   • "ErrorControl"=dword:0x00000001
   • "ImagePath"="\??\%SYSDIR%\Drivers\Drver.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "system"="%SYSDIR%\system.exe"

 Finalización de los procesos Listado de los procesos finalizados:
   • egui.exe
   • ekrn.exe


 Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Método empleado:

Engancha la siguiente función API:
   • NtCreateProcessEx

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el viernes, 12 de febrero de 2010
Descripción actualizada por Petre Galan el viernes, 12 de febrero de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.