Nome del virus:TR/Dldr.Agent.beti.3
Scoperto:29/05/2009
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Alto
File statico:Si
Dimensione del file:9.792 Byte
Somma di controllo MD5:c4c973cfdd2ffdcb847e07df55fdec43
Versione IVDF:7.01.04.35 - venerdì 29 maggio 2009

 Generale    •  Mcafee: Dropper.ek
   •  Sophos: Mal/Mdrop-L
   •  Panda: Trj/Downloader.VYP
   •  Grisoft: Downloader.Agent.AULX
   •  Eset: Win32/TrojanDownloader.Small.OOV


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Scarica file “maligni”
   • Clona un file “maligno”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %TEMPDIR%\%stringa di caratteri casuale%



Cancella la copia di se stesso eseguita inizialmente.

%TEMPDIR%\1.txt (0 bytes)
%TEMPDIR%\nckdta.sys (1344 bytes) Ulteriori analisi hanno accertato che questo file è anch'esso un malware.



Prova a scaricare dei file:

– Le posizioni sono le seguenti:
   • http://files850362.net/b2b/**********
   • http://files850362.net/b2b/load/**********
   • http://files850362.net/b2b/load/**********
Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]
   • "Type"=dword:00000001
      "Start"=dword:00000003
      "ErrorControl"=dword:00000000
      "ImagePath"= "\??\%TEMPDIR%\nckdta.sys"
      "DisplayName"="nckdta nckdta"



La seguente chiave di registro che include tutti i valori e le sottochiavi, viene rimossa:
   • [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]



Viene aggiunta la seguente chiave di registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]
   • "nckdta"=%numero%

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Assembler.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su martedì 7 luglio 2009
Descrizione aggiornata da Petre Galan su lunedì 17 agosto 2009

Indietro . . . .