VírusTR/Dldr.CWS.h.1.B
Data em que surgiu:19/09/2005
Tipo:Trojan
Subtipo:Downloader
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:13.824 Bytes
MD5 checksum:3bb19c92f33d0b89cf823bacea72efa9
Versão VDF:6.32.0.38

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.CWS.h
   •  TrendMicro: TROJ_DLOADER.ABQ


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\inetdata\services.exe



É acrescentada uma secção a um ficheiro.
– Para: %WINDIR%\system.ini Com os conteúdos seguintes:
   • load=%WINDIR%\inetdata\services.exe
     




É criado o seguinte ficheiro:

%WINDIR%\inetdata\tmp



Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • traff-**********.com/ef.exe
Encontra-se no disco rígido: %WINDIR%\ef.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.CWS.C.2


– A partir da seguinte localização:
   • traff-**********.com/killer.exe
Encontra-se no disco rígido: %WINDIR%\skiller.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.CWS.A


– A partir da seguinte localização:
   • traff-**********.com/socks5.exe
Encontra-se no disco rígido: %WINDIR%\winsocks5.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Proxy.Small.bt.3


– A partir da seguinte localização:
   • **********.com/mm.exe
Encontra-se no disco rígido: %WINDIR%\mm1.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.CWS.h.2


– A partir da seguinte localização:
   • traff-**********.com/gallerys/xpsystem/3.00.09.dll
Encontra-se no disco rígido: %WINDIR%\inetdata\3.00.09.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Delf.BV.1

 Registry (Registo do Windows) As chaves seguintes são adicionadas (num loop infinito) ao registo, para executar os processos depois de reinicializar.

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\winlogon.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\winlogon.exe"



Regista um Objecto de Ajuda do Browser (BHO) adicionando a seguinte chave ao registo do Windows:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
   • @=""



São adicionadas as seguintes chaves ao registo:

– HKCU\Software\Microsoft\Internet Explorer\Main
   • "Enable Browser Extensions"="yes"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
   • @="HBO Class"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\InprocServer32
   • @="%WINDIR%\inetdata\3.00.09.dll"
   • "ThreadingModel"="Apartment"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\ProgID
   • @="Replace.HBO.1"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\Programmable
   • @=""

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\TypeLib
   • @="{516A36EA-AFE2-4965-A492-B198B7F7B018}"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\
   VersionIndependentProgID
   • @="Replace.HBO"

– HKCR\Replace.HBO
   • @="HBO Class"

– HKCR\Replace.HBO\CLSID
   • @="{5321E378-FFAD-4999-8C62-03CA8155F0B3}"

– HKCR\Replace.HBO\CurVer
   • @="Replace.HBO.1"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="%WINDIR%\inetdata\winlogon.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
   • "state"=%uma série de caracteres aleatórios%

 Backdoor Contacta o servidor:
Seguintes:
   • traff-**********.com/affiliate/interface.php?
   • traff-**********.com/affiliate/counter.php?

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP GET através de scripts PHP.


Envia informação sobre:
    • Platform ID
    • Actividade do utilizador

 Informações diversas Mutex:
Cria os seguintes Mutexes:
   • userenv: machine policy mutex
   • userenv: user policy mutex

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.

Descrição enviada por Irina Boldea em segunda-feira, 19 de setembro de 2005
Descrição atualizada por Irina Boldea em terça-feira, 27 de setembro de 2005

Voltar . . . .