Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusRkit/Agent.nfi
Data em que surgiu:27/04/2009
Tipo:Trojan
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:De baixo a mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:39.936 Bytes
MD5 checksum:02e1df5942f45880e7aae5adca701e6a
Verso IVDF:7.01.03.113 - segunda-feira, 27 de abril de 2009

 Vulgarmente Meio de transmisso:
Autorun feature (pt)


Alias:
   •  Panda: W32/Autorun.JOO
   •  Eset: Win32/AutoRun.Agent.SD
   •  Bitdefender: Worm.Generic.84374


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizaes
   • %SYSDIR%\system.exe
   • %unidade%\system.exe



Apaga a cpia executada inicialmente.



So criados os seguintes ficheiros:

%unidade%\AutoRun.inf um ficheiro de texto no malicioso com o seguinte contedo:
   •

%unidade%\AutoRun.vbs um ficheiro de texto no malicioso com o seguinte contedo:
   •

%SYSDIR%\drivers\Drver.sys Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Rkit/Agent.nfi

%SYSDIR%\syste2.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Citeary.B.3

%SYSDIR%\syste9.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Rkit/Agent.nfi




Tenta efectuar o download do ficheiro:

A partir da seguinte localizao:
   • http://ddl.754245.com/05/**********
Ainda em fase de pesquisa.

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKLM\SYSTEM\CurrentControlSet\Services\CHoook]
   • "DisplayName"="CHoook"
   • "ErrorControl"=dword:0x00000001
   • "ImagePath"="\??\%SYSDIR%\Drivers\Drver.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



Um dos seguintes valores adicionado para executar o processo depois reinicializar:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "system"="%SYSDIR%\system.exe"

 Terminar o processo A seguinte lista de processos so terminados:
   • egui.exe
   • ekrn.exe


 Tecnologia de Rootkit  uma tecnologia malware-especfica. O malware esconde-se de utilitrios de sistema, aplicaes de segurana e, do utilizador.


Forma utilizada

Bloqueia a seguinte funo API:
   • NtCreateProcessEx

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 12 de fevereiro de 2010
Descrição atualizada por Petre Galan em sexta-feira, 12 de fevereiro de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.