VírusTR/PSW.Lmir.53381
Data em que surgiu:31/08/2005
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:53.381 Bytes
MD5 checksum:377d336c659395f6faf9100b69eaa84a
Versão VDF:6.31.1.54

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Sophos: Troj/LegMir-AV
   •  Bitdefender: Trojan.PSW.Lmir.A


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\logonuit.exe
   • %SYSDIR%\winl0gon.exe
   • %SYSDIR%\windows.exe

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
   • "windows update"="%SYSDIR%\logonuit.exe"



Altera as seguintes chaves de registo do Windows:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Valor anterior:
   • "Shell"=%definições do utilizador %
   Valor recente:
   • "Shell"="Explorer.exe %SYSDIR%\windows.exe"

– HKCR\txtfile\shell\open\command
   Valor anterior:
   • @=%definições do utilizador %
   Valor recente:
   • @="%SYSDIR%\winl0gon.exe %1"

 Terminar o processo A seguinte lista de processos são terminados:
   • Iparmor.exe
   • MAILMON.EXE
   • KAVPFW.EXE
   • PasswordGuard.exe

São terminados os processos com as seguintes características:
    •  Titulo: Symantec AntiVirus     Nome de classe: KV2004
    •  Titulo: RavMon.exe     Nome de classe: RavMonClass
    •  Titulo: %uma série de caracteres aleatórios%     Nome de classe: Tapplication
    •  Titulo: %uma série de caracteres aleatórios%     Nome de classe: TForm1
    •  Titulo: %uma série de caracteres aleatórios%     Nome de classe: TfLockDownMain
    •  Titulo: %uma série de caracteres aleatórios%     Nome de classe: ZAFrameWnd
    •  Titulo: %uma série de caracteres aleatórios%     Nome de classe: KvXP_ExpertFrame
    •  Titulo: %uma série de caracteres aleatórios%     Nome de classe: WHXMDI0
    •  Titulo: RegEdit_RegEdit     Nome de classe: TKillqqv
    •  Titulo: %uma série de caracteres aleatórios%     Nome de classe: TfrmMain

 Roubos de informação Tenta roubar a seguinte informação:

– As palavras-chave dos seguintes programas:
   • Legend of Mir2
   • Legend of Mir3

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Irina Boldea em quarta-feira, 31 de agosto de 2005
Descrição atualizada por Irina Boldea em quinta-feira, 1 de setembro de 2005

Voltar . . . .