Nume:TR/Drop.Agent.ahvf
Descoperit pe data de:25/02/2009
Tip:Troian
Subtip:Dropper
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:538.624 Bytes
MD5:b0bb51b66a38aa80dc26e514fab25feb
Versiune IVDF:7.01.02.78 - mercredi 25 février 2009

 General Alias:
   •  Mcafee: W32/Spybot.worm.gen virus
   •  Sophos: Mal/Generic-A
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/Boberog.K
   •  Bitdefender: Trojan.Generic.1448179


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\wmisys.exe



Suprascrie urmatoarele fisiere.
– %WINDIR%\inf\1394.PNF
– %WINDIR%\inf\1394vdbg.PNF



Sterge copia initiala a virusului.



Sunt create fisierele:

– C:\netsf_m.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %WINDIR%\inf\netsf_m.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %WINDIR%\inf\netsf.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– C:\netsf.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %SYSDIR%\drivers\ndisvvan.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dropper.Gen

– C:\msrwt.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.PEPM.Gen

– C:\Documents and Settings\LocalService\onk.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.PEPM.Gen

– %SYSDIR%\drivers\sysdrv32.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Hacktool.Tcpz.A




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://195.149.74.40/css/**********
Analiza ulterioara a relevat ca si acest fisier este malware.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\WMISYS]
   • "Description"="Spools WMI applications."
   • "DisplayName"="WMI System App"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\wmisys.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Urmatoarea cheie din registri este modificata:

– [HKLM\SYSTEM\CurrentControlSet\Control]
   Noua valoare:
   • "WaitToKillServiceTimeout"="7000"

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Petre Galan le lundi 16 novembre 2009
Description mise à jour par Andrei Ivanes le lundi 23 novembre 2009

Retour . . . .