Nume:TR/Dldr.Agent.beti.3
Descoperit pe data de:29/05/2009
Tip:Troian
Subtip:Downloader
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu spre ridicat
Fisier static:Da
Marime:9.792 Bytes
MD5:c4c973cfdd2ffdcb847e07df55fdec43
Versiune IVDF:7.01.04.35 - venerdì 29 maggio 2009

 General    •  Mcafee: Dropper.ek
   •  Sophos: Mal/Mdrop-L
   •  Panda: Trj/Downloader.VYP
   •  Grisoft: Downloader.Agent.AULX
   •  Eset: Win32/TrojanDownloader.Small.OOV


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Descarca fisiere malware
   • Creeaza un fisier malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %TEMPDIR%\%combinatie de caractere aleatoare%



Sterge copia initiala a virusului.

– %TEMPDIR%\1.txt (0 bytes)
– %TEMPDIR%\nckdta.sys (1344 bytes) Analiza ulterioara a relevat ca si acest fisier este malware.



Incearca sa descarce cateva fisiere:

– Adresele sunt urmatoarele:
   • http://files850362.net/b2b/**********
   • http://files850362.net/b2b/load/**********
   • http://files850362.net/b2b/load/**********
In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]
   • "Type"=dword:00000001
      "Start"=dword:00000003
      "ErrorControl"=dword:00000000
      "ImagePath"= "\??\%TEMPDIR%\nckdta.sys"
      "DisplayName"="nckdta nckdta"



Se sterge urmatoarea cheie din registri, inclusiv toate valorile si cheile subordnate:
   • [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]



Se adauga in registrii sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]
   • "nckdta"=%numar%

 Detaliile fisierului Limbaj de programare:
 Aces program malware a fost scris în limbaj de asamblare.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Petre Galan su martedì 7 luglio 2009
Descrizione aggiornata da Petre Galan su lunedì 17 agosto 2009

Indietro . . . .