VírusTR/Proxy.Cimuz.BG.1
Data em que surgiu:19/10/2005
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:39.281 Bytes
MD5 checksum:F09B6F7DB845AF2C7B013D2E848DDDC2
Versão VDF:6.32.00.43

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: Trojan.Repsamo
   •  Kaspersky: Trojan-Proxy.Win32.Cimuz.bg
   •  TrendMicro: TROJ_REPSAMO.D
   •  Bitdefender: Trojan.MZU


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega ficheiros
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\mdms.exe



Elimina os seguintes ficheiros:
   • C:\ccccccccccccccccoemrciermicomeriocmeiormcioermo
   • C:\cc5y456 455 4 54cccccccoemrciermicomeriocmeiormcioermo
   • C:\zzzzzzzzzzzzzzzzzzzzzzz222



Pode corromper os ficheiros seguintes:
   • %PROGRAM FILES%\McAfee.com\Personal Firewall\MpfUi.Dll"
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Hacker\perfiloc.dll"
   • %PROGRAM FILES%\Tiny Firewall Pro\SnortImp.dll"
   • %PROGRAM FILES%\McAfee.com\Personal Firewall\Localized.DLL"
   • %PROGRAM FILES%\Agnitum\Outpost Firewall\Engine.dll"
   • %PROGRAM FILES%\Norton Internet Security Professional\FRERules.dll"
   • %PROGRAM FILES%\Kerio\Personal Firewall 4\kfe.dll"
   • %PROGRAM FILES%\Zone Labs\ZoneAlarm\vsruledb.dll"



É criado o seguinte ficheiro:

%SYSDIR%\winacpi.dll Esconde processos no Gestor de Tarefas. Detectado como: TR/Drop.Agen.bd.A.1


– A partir das seguintes localizações:
   • http://ozonung.biz/**********/?%uma série de caracteres aleatórios%
   • http://votreenton.biz/**********/?%uma série de caracteres aleatórios%
   • http://troonety.biz/**********/?%uma série de caracteres aleatórios%
   • http://breenten.biz/**********/?%uma série de caracteres aleatórios%
   • http://zurrusco.com/**********/?%uma série de caracteres aleatórios%
   • http://freelife4ever.com/**********/?%uma série de caracteres aleatórios%
   • http://213.21.215.186/**********/?%uma série de caracteres aleatórios%
Encontra-se no disco rígido: %Desconhecido% Este ficheiro pode conter localizações de descarregamento adicionais e poderá servir como fonte para novas ameaças .

 Registry (Registo do Windows) A chave seguinte é adicionada (num loop infinito) ao registo, para executar os processos depois de reinicializar.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SysMemory manager"="%SYSDIR%\mdms.exe"



Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\mdms.exe"="%SYSDIR%\mdms.exe:*:Enabled:mdm_sysag"



São adicionadas as seguintes chaves ao registo:

– [HKCR\*\shellex\ContextMenuHandlers\sysacpildap]
   • @="{5E2121EE-0300-11D4-8D3B-444553540000}"

– [HKCU\Software\mzs]
– [HKCU\Software\mzs\mdms]
– [HKCU\Software\mzs\mdms\mzu]
   • "cid"=%número hexadecimal%
   • "newhost"=dword:00000001
   • "pt"=dword:%número hexadecimal%
   • "fc"=dword:%número hexadecimal%
   • "fu"="http://213.21.215.**********/zubox429/gotcha.php"
   • "fa"=dword:00000001

– [HKCR\acpi.acpi.1]
   • @="acpi Class"

– [HKCR\acpi.acpi.1\CLSID]
   • @="{5E2121EE-0300-11D4-8D3B-444553540000}"

– [HKCR\acpi.ext]
   • @="acpi Class"

– [HKCR\acpi.ext\CLSID]
   • @="{5E2121EE-0300-11D4-8D3B-444553540000}"

– [HKCR\acpi.ext\CurVer]
   • @="acpi.acpi.1"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}]
   • @="acpi"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\InprocServer32]
   • @="%SYSDIR%\winacpi.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\ProgID]
   • @="acpi.1"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\Programmable]
– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\TypeLib]
   • @="{5E2121E1-0300-11D4-8D3B-444553540000}"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\
   VersionIndependentProgID]
   • @="acpi"

– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}]
– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0]
   • @="SimpleExt 1.0 Type Library"

– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0\0]
– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0\0\win32]
   • @="%SYSDIR%\winacpi.dll"

– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0\HELPDIR]
   • @="%SYSDIR%\"

– [HKCR\Interface\{5E2121ED-0300-11D4-8D3B-444553540000}]
   • @="ISimpleShlExt"

– [HKCR\Interface\{5E2121ED-0300-11D4-8D3B-444553540000}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"
   •

– [HKCR\Interface\{5E2121ED-0300-11D4-8D3B-444553540000}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{5E2121ED-0300-11D4-8D3B-444553540000}\TypeLib]
   • @="{5E2121E1-0300-11D4-8D3B-444553540000}"
   • "Version"="1.0"

 Terminar o processo A seguinte lista de processos são terminados:
   • ehmas.exe; gcasServ.exe; gcasDtServ.exe; kpf4gui.exe; NPROTECT.EXE;
      MpfService.exe; outpost.exe; ZAPRO.EXE; amon.exe; kpf4ss.exe;
      firewall.exe; zonealarm.exe


 Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.


Oculta o seguinte:
– O seu próprio processo

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Borland C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • FSG

Descrição enviada por Andrei Gherman em segunda-feira, 24 de outubro de 2005
Descrição atualizada por Andrei Gherman em sexta-feira, 28 de outubro de 2005

Voltar . . . .