Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/Tcom.2
Data em que surgiu:13/12/2012
Tipo:Trojan
Subtipo:Downloader
Includo na lista "In The Wild"No
Nvel de danos:Baixo
Nvel de distribuio:Baixo
Nvel de risco:Baixo
Ficheiro esttico:Sim
Tamanho:26.624 Bytes
MD5 checksum:8e3cf147f6d642b4e0808cec743d856e
Verso VDF:7.11.53.216

 Vulgarmente Meio de transmisso:
   • No tem rotinas de propagao


Alias:
   •  Symantec: Backdoor.Nibu.L
   •  Mcafee: BackDoor-CCT
   •  Kaspersky: Trojan-Spy.Win32.Agent.fe
   •  TrendMicro: TROJ_DUMADOR.AV
   •  VirusBuster: Backdoor.Dumador.BM


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Bloqueia o acesso a Web sites de segurana
   • Baixa as definies de segurana
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informao de roubos

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\windldra.exe



Elimina o seguinte ficheiro:
   • %WINDIR%\send_logs_trigger



So criados os seguintes ficheiros:

%WINDIR%\netdx.dat O ficheiro serve para activar rotinas internas.
%WINDIR%\dvpd.dll
%WINDIR%\prntsvra.dll
%TEMPDIR%\fe43e701.htm O ficheiro contm informao das teclas pressionadas.
%WINDIR%\prntc.log
%WINDIR%\prntk.log

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKLM\software\microsoft\windows\currentversion\run\]
   • "load32"="%SYSDIR%\winldra.exe"



So adicionadas as seguintes chaves ao registo:

[HKCU\software\sars\]
   • "SocksPort"=dword:%uma srie de caracteres aleatrios%

[HKCU\software\microsoft\internet explorer\main\]
   • "AllowWindowReuse"=dword:00000000

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alteraes:

Neste caso no haver alteraes.

O acesso aos seguintes domnios bloqueado:
   • www.trendmicro.com
   • trendmicro.com
   • rads.mcafee.com
   • customer.symantec.com
   • liveupdate.symantec.com
   • us.mcafee.com
   • updates.symantec.com
   • update.symantec.com
   • www.nai.com
   • nai.com
   • secure.nai.com
   • dispatch.mcafee.com
   • download.mcafee.com
   • www.my-etrust.com
   • my-etrust.com
   • mast.mcafee.com
   • ca.com
   • www.ca.com
   • networkassociates.com
   • www.networkassociates.com
   • avp.com
   • www.kaspersky.com
   • www.avp.com
   • kaspersky.com
   • www.f-secure.com
   • f-secure.com
   • viruslist.com
   • www.viruslist.com
   • liveupdate.symantecliveupdate.com
   • mcafee.com
   • www.mcafee.com
   • sophos.com
   • www.sophos.com
   • symantec.com
   • securityresponse.symantec.com
   • us.mcafee.com/root/
   • www.symantec.com




O ficheiro hospedeiro (alterado) ter a seguinte aparncia:


 Backdoor So abertas as seguintes portas:

%ficheiro executado% numa porta TCP aleatria de forma a fornecer um servidor proxy.
%ficheiro executado% numa porta TCP 9125 Por forma a fornecer capacidades backdoor.


Contacta o servidor:
Seguinte:
   • http://222.36.41.**********/system32/logger.php

Como resultado pode enviar alguma informao. Isto feito usando o mtodo HTTP GET atravs de scripts PHP.


Envia informao sobre:
     Logfiles criados
     Informaes sobre a rede
     Platform ID

 Roubos de informao Tenta roubar a seguinte informao:

As palavras-chave dos seguintes programas:
   • WebMoney
   • Far Manager
   • Total Commander
   • Outlook
   • Outlook Express

iniciada uma rotina de logging depois de visitar um dos seguintes Web sites, que contenha um dos seguintes textos no URL:
   • "gold"; "Storm"; "e-metal"; "Money"; "money"; "WM Keeper"; "Keeper";
      "Fethard"; "fethard"; "bull"; "Bull"; "mull"; "PayPal"; "Bank";
      "bank"; "cash"; "anz"; "ANZ"; "shop"; "Shop"; "..."; "ebay"; "invest";
      "casino"; "bookmak"; "pay"; "member"; "fund"; "Invest"; "Casino";
      "Bookmak"; "Pay"; "Member"; "Fund"; "bet"; "Bet"; "bill"; "Bill";
      "login"; "Login"

 Captura:
     Teclar
     Janela de informao
     Janela do Browser
     Informao de login

 Introduo de cdigo viral noutros processos – Introduz-se a si prprio num processo.

    Nome do processo:
   • Internet Explorer


Descrição enviada por Sergiu Oprea em quarta-feira, 3 de agosto de 2005
Descrição atualizada por Oliver Auerbach em terça-feira, 18 de outubro de 2005

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.