Nome del virus:Rkit/Agent.nfi
Scoperto:27/04/2009
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:39.936 Byte
Somma di controllo MD5:02e1df5942f45880e7aae5adca701e6a
Versione IVDF:7.01.03.113 - lunedì 27 aprile 2009

 Generale Metodo di propagazione:
• Autorun feature (it)


Alias:
   •  Panda: W32/Autorun.JOO
   •  Eset: Win32/AutoRun.Agent.SD
   •  Bitdefender: Worm.Generic.84374


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\system.exe
   • %unità disco%\system.exe



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

%unità disco%\AutoRun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%unità disco%\AutoRun.vbs Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%SYSDIR%\drivers\Drver.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Rkit/Agent.nfi

%SYSDIR%\syste2.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Citeary.B.3

%SYSDIR%\syste9.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Rkit/Agent.nfi




Prova a scaricare un file:

– La posizione è la seguente:
   • http://ddl.754245.com/05/**********
Al momento dell'analisi questo file non era più disponibile.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\CHoook]
   • "DisplayName"="CHoook"
   • "ErrorControl"=dword:0x00000001
   • "ImagePath"="\??\%SYSDIR%\Drivers\Drver.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "system"="%SYSDIR%\system.exe"

 Processi terminati Lista dei processi che vengono terminati:
   • egui.exe
   • ekrn.exe


 Tecnologia Rootkit È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.


Metodo utilizzato:

“Aggancia” la seguente funzione API:
   • NtCreateProcessEx

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su venerdì 12 febbraio 2010
Descrizione aggiornata da Petre Galan su venerdì 12 febbraio 2010

Indietro . . . .