TR/Drop.Agent.agla - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/Drop.Agent.agla
Descubierto:	26/02/2009
Tipo:	Troyano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Alto
Fichero estático:	Sí
Tamaño:	172.207 Bytes
Suma de control MD5:	d6614007059d24844269db6ef460e4d9
Versión del IVDF:	7.01.01.239

General Alias:
   • Symantec: W32.SillyFDC
   • Sophos: Mal/Generic-A
   • Panda: W32/Lineage.KYR
   • Eset: Win32/PSW.OnLineGames.NNU

Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga ficheros
   • Suelta ficheros dañinos
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\kva8wr.exe
   • \jbele1.com

Renombra los siguientes ficheros:

    • %directorio donde se ejecuta el programa viral% en c:\%archivo o directorio existente%.vcd

Elimina la copia inicial del virus.

Elimina el siguiente fichero:
   • %SYSDIR%\drivers\cdaudio.sys

Puede corromper el siguiente fichero:
   • %SYSDIR%\drivers\cdaudio.sys

Crea los siguientes ficheros:

– \autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

– %SYSDIR%\drivers\klif.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Rkit/Agent.4160

– %SYSDIR%\bgotrtu0.dll Detectado como: TR/Vundo

– %SYSDIR%\uweyiwe0.dll Detectado como: TR/Crypt.XPACK.Gen

– \lot.exe
– %SYSDIR%\ahnfgss0.dll
– %SYSDIR%\ahnsbsb.exe
– %SYSDIR%\ahnxsds0.dll

Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://hjkio.com/xhg2/**********

– La dirección es la siguiente:
   • http://kioytrfd.com/xhg2/**********

Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "kvasoft"="%SYSDIR%\kva8wr.exe"

Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SOFTWARE\System\CurrentControlSet\Services\KAVsys]
   • "Type"=dword:00000001
      "Start"=dword:00000001
      "ErrorControl"=dword:00000001
      "ImagePath"="\??\%SYSDIR%\drivers\klif.sys"
      "DisplayName"="KAVsys"

Modifica las siguientes claves del registro:

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuevo valor:
   • "NoDriveTypeAutoRun"=dword:00000091

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuevo valor:
   • "CheckedValue"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • "ShowSuperHidden"=dword:00000001
     "Hidden"=dword:00000002

Inyectar el código viral en otros procesos – Inyecta el siguiente fichero en un proceso: %SYSDIR%\uweyiwe0.dll

– Inyecta en otro proceso una rutina de monitorización de procesos.

Nombre del proceso:
• explorer.exe

Tecnología Rootkit Oculta las siguientes:
– Su propio proceso

Método empleado:
    • Oculto en Master File Table (MFT)
    • Oculto en Windows API
    • Hidden from Interrupt Descriptor Table (IDT) (es)

Para una breve descripción vea el resumen aquí.

Descripción insertada por Petre Galan el Mon, 06 Jul 2009 21:00 (GMT+1)
Descripción actualizada por Petre Galan el Tue, 18 Aug 2009 12:00 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver