Full description

Vírus	TR/Spy.Goldun.CI
Data em que surgiu:	11/10/2005
Tipo:	Trojan
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	De baixo a médio
Ficheiro estático:	Sim
Tamanho:	10.296 Bytes
MD5 checksum:	AC5F9A4561DC118AD143CFF3331B9B4E
Versão VDF:	6.32.00.77

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Kaspersky: Trojan-Spy.Win32.Goldun.ci

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows
   • Informação de roubos

Ficheiros Apaga a cópia executada inicialmente.

É criado o seguinte ficheiro:

– %SYSDIR%\msgalo.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Spy.Goldun.ci.2

Registry (Registo do Windows) São adicionadas as seguintes chaves ao registo:

– [HKCR\CLSID\{56262124-6251-5625-3072-548536364311}]
   • "plugin"=hex:5d,1e,6c,e2,d0,4c,ec,67,a1,51,5f,ee,28,94,69,3a,1c,bd,c1,91,8c,9f,\ 95,25,78,16,c4,f4,d7,b2,40,91,21,52,08,97,d2
   • "notify"=hex:5d,1e,6c,e2,d0,4c,ec,67,a1,51,5f,ee,28,94,69,3a,1c,bd,c1,91,8c,9f,\ 95,25,78,16,34,ec,df,c2,48,29,21,72,98,9f,da
   • "sbanker0001"=hex:5d,1e,6c,e2,d0,4c,ec,67,a1,51,5f,ee,28,94,69,3a,1c,bd,c1,91,\ 8c,9f,95,25,78,16,54,9c,0f,d2,60,41,21,52,f7,2f,0b
   • "form0001"=hex:5d,1e,6c,e2,d0,4c,ec,67,a1,51,5f,ee,28,94,69,3a,1c,bd,c1,91,8c,\ 9f,95,25,78,16,c4,04,07,4a,c0,93,f3,32,68,06
   • "tripp0001"=hex:5d,1e,6c,e2,d0,4c,ec,67,a1,51,5f,ee,28,94,69,3a,1c,bd,c1,91,8c,\ 9f,95,25,78,16,dc,14,0d,0a,38,61,52

– [HKCR\CLSID\{56262124-6251-5625-3072-548536364311}\InprocServer32]
   • @="%SYSDIR%\msgalo.dll"
   • "ThreadingModel"="Apartment"

Backdoor Contacta o servidor:
Seguinte:
   • http://hothosts.co.uk/**********/collect.php

Isto é feito usando o método HTTP POST através de scripts PHP.

Envia informação sobre:
    • Endereço IP
    • Informação recolhida na secção de roubos.

Roubos de informação – É iniciada uma rotina de logging depois de visitar um Web site:
   • www.e-gold.com

– Captura:
    • Janela de informação
    • Informação de login

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• FSG

Descrição enviada por Andrei Gherman em terça-feira, 11 de outubro de 2005
Descrição atualizada por Andrei Gherman em sexta-feira, 14 de outubro de 2005

Voltar . . . .