VírusTR/Proxy.Mitgl.DQ.1
Data em que surgiu:15/08/2005
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:9.056 Bytes
MD5 checksum:14c6230994fc57492f56182592cd255b
Versão VDF:6.31.1.52

 Vulgarmente Alias:
   •  Kaspersky: Trojan-Proxy.Win32.Mitglieder.dq
   •  VirusBuster: Trojan.DL.Agent.ST
   •  Bitdefender: Trojan.Proxy.Mitglieder.DQ


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Descarrega um ficheiro
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\msnethlp32.exe
   • %SYSDIR%\msnethlp32.dll



É criado o seguinte ficheiro:

%SYSDIR%mscore.bin

 Backdoor São abertas as seguintes portas:

%WINDIR%\explorer.exe numa porta TCP aleatória de forma a fornecer um servidor proxy.
%WINDIR%\explorer.exe numa porta TCP aleatória de forma a fornecer um servidor proxy.


Contacta o servidor:
Um dos seguintes:
   • www.manwithn**********e.biz/cgi-bin/get.cgi
   • www.in**********e.net/cgi-bin/get.cgi
   • www.shivaspace**********logy.cn/cgi-bin/get.cgi
   • www.trymyg**********.com/cgi-bin/get.cgi

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP GET através de scripts CGI.


Envia informação sobre:
    • Tipo de ligação à Internet
    • Situação actual de malware
    • Informações sobre a rede
    • Porta aberta
    • Platform ID
    • Hora de Sistema
    • Informação sobre o sistema operativo Windows

 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa remota num processo.

    Nome do processo:
   • explorer.exe


 Informações diversas Ligação à internet:
Para conferir a sua ligação à internet são contatados os seguintes servidores de DNS :
   • www.manwithnoname.biz
   • www.intlive.net
   • www.shivaspacetechnology.cn
   • www.trymygift.com

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • FSG 1.3

Descrição enviada por Victor Tone em segunda-feira, 15 de agosto de 2005
Descrição atualizada por Victor Tone em sexta-feira, 26 de agosto de 2005

Voltar . . . .