Nume:Rkit/Agent.nfi
Descoperit pe data de:27/04/2009
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:39.936 Bytes
MD5:02e1df5942f45880e7aae5adca701e6a
Versiune IVDF:7.01.03.113 - lundi 27 avril 2009

 General Metoda de raspandire:
• Functia autorun


Alias:
   •  Panda: W32/Autorun.JOO
   •  Eset: Win32/AutoRun.Agent.SD
   •  Bitdefender: Worm.Generic.84374


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\system.exe
   • %unitate disc%\system.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

%unitate disc%\AutoRun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\AutoRun.vbs Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %SYSDIR%\drivers\Drver.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Rkit/Agent.nfi

– %SYSDIR%\syste2.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Citeary.B.3

– %SYSDIR%\syste9.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Rkit/Agent.nfi




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://ddl.754245.com/05/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\CHoook]
   • "DisplayName"="CHoook"
   • "ErrorControl"=dword:0x00000001
   • "ImagePath"="\??\%SYSDIR%\Drivers\Drver.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "system"="%SYSDIR%\system.exe"

 Terminarea proceselor Lista cu procesele oprite:
   • egui.exe
   • ekrn.exe


 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Metoda folosita:

Se ataseaza la urmatoarea functie API:
   • NtCreateProcessEx

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Petre Galan le vendredi 12 février 2010
Description mise à jour par Petre Galan le vendredi 12 février 2010

Retour . . . .