VírusRkit/Agent.nfi
Data em que surgiu:27/04/2009
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:39.936 Bytes
MD5 checksum:02e1df5942f45880e7aae5adca701e6a
Versão IVDF:7.01.03.113 - segunda-feira, 27 de abril de 2009

 Vulgarmente Meio de transmissão:
• Autorun feature (pt)


Alias:
   •  Panda: W32/Autorun.JOO
   •  Eset: Win32/AutoRun.Agent.SD
   •  Bitdefender: Worm.Generic.84374


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\system.exe
   • %unidade%\system.exe



Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

%unidade%\AutoRun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

%unidade%\AutoRun.vbs É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

%SYSDIR%\drivers\Drver.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Rkit/Agent.nfi

%SYSDIR%\syste2.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Citeary.B.3

%SYSDIR%\syste9.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Rkit/Agent.nfi




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://ddl.754245.com/05/**********
Ainda em fase de pesquisa.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SYSTEM\CurrentControlSet\Services\CHoook]
   • "DisplayName"="CHoook"
   • "ErrorControl"=dword:0x00000001
   • "ImagePath"="\??\%SYSDIR%\Drivers\Drver.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "system"="%SYSDIR%\system.exe"

 Terminar o processo A seguinte lista de processos são terminados:
   • egui.exe
   • ekrn.exe


 Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.


Forma utilizada

Bloqueia a seguinte função API:
   • NtCreateProcessEx

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 12 de fevereiro de 2010
Descrição atualizada por Petre Galan em sexta-feira, 12 de fevereiro de 2010

Voltar . . . .