Nume:TR/Drop.Agent.agla
Descoperit pe data de:26/02/2009
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Ridicat
Fisier static:Da
Marime:172.207 Bytes
MD5:d6614007059d24844269db6ef460e4d9
Versiune IVDF:7.01.01.239 - sexta-feira, 6 de fevereiro de 2009

 General Alias:
   •  Symantec: W32.SillyFDC
   •  Sophos: Mal/Generic-A
   •  Panda: W32/Lineage.KYR
   •  Eset: Win32/PSW.OnLineGames.NNU


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\kva8wr.exe
   • %unitate disc%\jbele1.com



Redenumeste urmatoarele fisiere:

    •  %directorul de activare malware% în c:\%fisier sau director existent%.vcd



Sterge copia initiala a virusului.



Sterge urmatorul fisier:
   • %SYSDIR%\drivers\cdaudio.sys



Poate afecta urmatorul fisier:
   • %SYSDIR%\drivers\cdaudio.sys



Sunt create fisierele:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %SYSDIR%\drivers\klif.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Rkit/Agent.4160

– %SYSDIR%\bgotrtu0.dll Detectat ca: TR/Vundo

– %SYSDIR%\uweyiwe0.dll Detectat ca: TR/Crypt.XPACK.Gen

%unitate disc%\lot.exe
– %SYSDIR%\ahnfgss0.dll
– %SYSDIR%\ahnsbsb.exe
– %SYSDIR%\ahnxsds0.dll



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://hjkio.com/xhg2/**********


– Adresa este urmatoarea:
   • http://kioytrfd.com/xhg2/**********

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "kvasoft"="%SYSDIR%\kva8wr.exe"



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SOFTWARE\System\CurrentControlSet\Services\KAVsys]
   • "Type"=dword:00000001
      "Start"=dword:00000001
      "ErrorControl"=dword:00000001
      "ImagePath"="\??\%SYSDIR%\drivers\klif.sys"
      "DisplayName"="KAVsys"



Urmatoarele chei din registri sunt modificate:

Diverse setari in Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Noua valoare:
   • "NoDriveTypeAutoRun"=dword:00000091

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Noua valoare:
   • "CheckedValue"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • "ShowSuperHidden"=dword:00000001
     "Hidden"=dword:00000002

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\uweyiwe0.dll


– Injecteaza o rutina care supravegheaza procesele intr-un alt proces.

    Numele procesului:
   • explorer.exe


 Tehnologie Rootkit  Ascunde urmatoarele:
– Propriul proces


Metoda folosita:
    • Ascuns de Master File Table (MFT)
    • Ascuns de Windows API
    • Ascuns de Interrupt Descriptor Table (IDT)

Descrição enviada por Petre Galan em segunda-feira, 6 de julho de 2009
Descrição atualizada por Petre Galan em terça-feira, 18 de agosto de 2009

Voltar . . . .