Nom:TR/Dldr.Agent.beti.3
La date de la découverte:29/05/2009
Type:Cheval de Troie
Sous type:Downloader
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen à élevé
Fichier statique:Oui
Taille du fichier:9.792 Octets
Somme de contrôle MD5:c4c973cfdd2ffdcb847e07df55fdec43
Version IVDF:7.01.04.35 - vendredi 29 mai 2009

 Général    •  Mcafee: Dropper.ek
   •  Sophos: Mal/Mdrop-L
   •  Panda: Trj/Downloader.VYP
   •  Grisoft: Downloader.Agent.AULX
   •  Eset: Win32/TrojanDownloader.Small.OOV


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il télécharge des fichiers malveillants
   • Il crée un fichier malveillant
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %TEMPDIR%\%chaîne de caractères aléatoire%



Il supprime sa propre copie, exécutée initialement

%TEMPDIR%\1.txt (0 bytes)
%TEMPDIR%\nckdta.sys (1344 bytes) Les investigations ultérieures ont prouvé que ce ficher est également un Malware.



Il essaie de télécharger des fichiers:

– Les emplacements sont les suivants:
   • http://files850362.net/b2b/**********
   • http://files850362.net/b2b/load/**********
   • http://files850362.net/b2b/load/**********
Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]
   • "Type"=dword:00000001
      "Start"=dword:00000003
      "ErrorControl"=dword:00000000
      "ImagePath"= "\??\%TEMPDIR%\nckdta.sys"
      "DisplayName"="nckdta nckdta"



La clé de registre suivante, y compris toutes les valeurs et les sous-clés, est enlevée.
   • [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]



La clé de registre suivante est ajoutée:

– [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]
   • "nckdta"=%nombre%

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Assembler.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le mardi 7 juillet 2009
Description mise à jour par Petre Galan le lundi 17 août 2009

Retour . . . .