Win32/Agent.NLF [Threat Name] go to Threat

Win32/Agent.NLF [Threat Variant Name]

Category trojan,worm
Size 16896 B
Aliases Trojan.Win32.Mondera.gen (Kaspersky)
  Backdoor.Trojan (Symantec)
  Generic.dx.trojan (McAfee)
Short description

The trojan serves as a backdoor. It can be controlled remotely. The trojan sends links to MSN users. The file is run-time compressed using UPX, ASPack .


When executed the trojan copies itself in the following locations:

  • %userprofile%\­%variable1%.exe
  • %system%\­%variable2%.exe

%variable1%, %variable2% represent random text.

In order to be executed on every system start, the trojan sets the following Registry entries:

  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Winlogon]
    • "UserInit" = "%userprofile%\­%variable1%.exe\­o"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "%variable2%" = "%system%\­%variable2%.exe\­j"

The following Registry entries are set:

  • [HKEY_LOCAL_MACHINE\­SYSTEM\­CurrentControlSet\­Services\­SharedAccess\­Parameters\­FirewallPolicy\­StandardProfile\­AuthorizedApplications\­List]
    • "%system%\­%variable2%.exe" = "%system%\­%variable2%.exe:*:Enabled=ENABLED"
    • "%userprofile%\­%variable1%.exe" = "%userprofile%\­%variable1%.exe:*:Enabled=ENABLED"
    • "%filepath%" = "%filepath%:*:Enabled=ENABLED"

The performed command creates an exception in the Windows Firewall.

Spreading via IM networks

The trojan sends links to MSN users. The messages may contain any of the following texts:

  • I was on weapons festival in my travel! True, that is not all photos here!
  • I am as Harry Potter in this old cap! Watch! Its funny!
  • Hi. We watch our old photos and die of laughter! More have found!
  • I didnt recognize you at once!
  • Yesterday we went to catch small fry petty and look that in upshot got out?
  • Finally I found the photos of my neighbor!
  • I managed to make some photos from the last visit in strip club
  • Yesterday acquired girls and swelling their. Come in here and enjoy!
  • Here recent clips and posters for the new movie of batman.
  • Here Im on party! Blind drunk, sot.
  • You remember the photos of when we were in primary.
  • I have to raise my new photos on
  • I cut the hair and now Im closely cropped
  • Watch my new TV, this little mother
  • Not to buy cell, see the pictures and I say what you liked most.
  • Still can not believe this, tell me whether you think is real?
  • To watching porn coordinator, watch photos
  • I watch pictures and missed that party. Was cool!
  • Look at my new puppy
  • I do not decide which cellular to buy! I like 3 but cant choose the best!
  • I take these photos just for you.
  • We will not going to believe me but Marian made your photos. Watch
  • You'll like what I'm sending you. Receive again
  • You take some pictures of the eclipse of the Sun few days ago, are cool
  • No fences never your life to the acer! No sale this photo!
  • All you saw was old and not good, till you see this photos
  • I have nearly not fainted, when have seen these photos
  • Yesterday has gone suddenly snow! Difficultly to believe! Watch photos!
  • When you see these photos, dont pass out. Its just joke
  • Fuck, facebook blocked these photos. But why?
  • Hey, want to see my new photo?
  • Hey baby, watch my new photo ;)
  • He sent you my new photo! Did you saw it?
  • I put this picture on Myspace
  • Look at the basket on that guy
  • She will strip for you just as she stripped for me with this
  • Wanted to put this picture of us on facebook?
  • Yesterday I went to the zoo and you take these photos with monkey. We're going to die of laughter when you see.
  • I have just returned from travel and go to my computer these photos.
  • Take these screenshots to see how I am my desk.
  • He made some modifications to the photos you sent me, looks like were.
  • Already finished photos that had to edit in photoshop.
  • Finally got pictures of the bride of John, shes really cool girl.
  • They live in a tip. Look
  • She's been tipping on him and I have photos how..
  • He's been tipping that foxy chick since the year one
  • I don't know how he did it but i like it. Look this too
  • How do you like it? Very old lady on the nudism beach.
  • Do you wish to meet with any beauty easily? That is the way to do it.
  • Look photos of my new car and my girlfriend. But she looks like I am here
  • Long hair gave him a camp look. Very funny
  • She is so camp, I could scream. Look, how she embraces thise girl.
  • Watch some new photos on
  • You remember this photo? We were weak ...
  • Watch, this is the picture of my ex girlfriend
  • Watch ... You remember this old? Was not so good..
  • I buy a new car and choose from this three. Help me choice, please. Watch photos.
  • So furious was the tempest, that the ship was allowed to drive before it under bare poles. I had time to take some photos.
  • Ha, ha, ha! I take photos what you doing the polite to this girl - getting on like a house afire, eh? Look
  • He caught the ball on the fly. Cool
  • She drank till she was totally on the fritz
  • Look. We got it on the knock
  • We've always been on the level With each other, haven't we?
  • This girl on photo from party seems to be on the make for you
  • I'm going on the make for the well-hung ones dressed like girl scouts. Look yourselves.
  • This pop festival is increasingly on the map - largely because of TV coverage
  • Once you're on the needle, you've had it. Look at these peoples.
  • She got it on the never never. Its cool I think.
  • If you take that stuff you'll be on the nod soon enough
  • I would like a dress on the order of the one I see in this catalogue.
  • If I am any judge of female, this chick seems to be on the pitch for you.
  • Do you remember my EX girl-friend? She's on the prod and looks real sick. Look before and now.
  • That bank is on the rocks. Do you have accounts in it?
  • Look my photos from competitions. By George! Three wins on the trot. in the seventh heaven.
  • Yesterday we have been plundered! And now the house looks like it's been stirred with a stick
  • Just look what the cat's dragged in.
  • I'll keep after you until you look my photos on'
  • Keep your cool! Its just a joke! Look..

The attachment is a/an ZIP archive file containig an executable.

Other information

The trojan acquires data and commands from a remote computer or the Internet.

The trojan contains a list of (1) URLs.

The trojan tries to download several files from the Internet. The files are then executed.

The trojan may set the following Registry entries:

  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Explorer\­BitBucket]

It uses techniques common for rootkits.

Please enable Javascript to ensure correct displaying of this content and refresh this page.