VírusTR/Dldr.Agent.beti.3
Data em que surgiu:29/05/2009
Tipo:Trojan
Subtipo:Downloader
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De médio a elevado
Ficheiro estático:Sim
Tamanho:9.792 Bytes
MD5 checksum:c4c973cfdd2ffdcb847e07df55fdec43
Versão IVDF:7.01.04.35 - sexta-feira, 29 de maio de 2009

 Vulgarmente    •  Mcafee: Dropper.ek
   •  Sophos: Mal/Mdrop-L
   •  Panda: Trj/Downloader.VYP
   •  Grisoft: Downloader.Agent.AULX
   •  Eset: Win32/TrojanDownloader.Small.OOV


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega ficheiros maliciosos
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %TEMPDIR%\%uma série de caracteres aleatórios%



Apaga a cópia executada inicialmente.

%TEMPDIR%\1.txt (0 bytes)
%TEMPDIR%\nckdta.sys (1344 bytes) Outras investigações apontam para que este ficheiro, também, seja malware.



Tenta efectuar o download de alguns ficheiros:

– A partir das seguintes localizações:
   • http://files850362.net/b2b/**********
   • http://files850362.net/b2b/load/**********
   • http://files850362.net/b2b/load/**********
Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]
   • "Type"=dword:00000001
      "Start"=dword:00000003
      "ErrorControl"=dword:00000000
      "ImagePath"= "\??\%TEMPDIR%\nckdta.sys"
      "DisplayName"="nckdta nckdta"



A seguinte chave de registo e todos os valores são eliminados:
   • [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]



É adicionada a seguinte chave de registo:

– [HKLM\SYSTEM\CurrentControlSet\Services\nckdta]
   • "nckdta"=%número%

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Assembler.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em terça-feira, 7 de julho de 2009
Descrição atualizada por Petre Galan em segunda-feira, 17 de agosto de 2009

Voltar . . . .