VírusJoke/Renos.W
Data em que surgiu:31/10/2005
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:28.160 Bytes
MD5 checksum:fa7582def8348c22b69a4bb360eff64b
Versão VDF:6.32.00.117

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Mcafee: Downloader-AFH
   •  Kaspersky: not-virus:Hoax.Win32.Renos.s


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro
   • Descarrega um ficheiro
   • Altera o registo do Windows


Depois de executado é visualizada a seguinte informação:


 Ficheiros Autocopia-se para a seguinte localização:
   • c:\winstall.exe



São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • C:\Program Files\SpySheriff\base.avd; C:\Program
      Files\SpySheriff\base001.avd; C:\Program Files\SpySheriff\base002.avd;
      C:\Program Files\SpySheriff\found.wav; C:\Program
      Files\SpySheriff\heur000.dll; C:\Program Files\SpySheriff\heur001.dll;
      C:\Program Files\SpySheriff\heur002.dll; C:\Program
      Files\SpySheriff\heur003.dll; C:\Program Files\SpySheriff\IESecurity.dll;
      C:\Program Files\SpySheriff\notfound.wav; C:\Program
      Files\SpySheriff\ProcMon.dll; C:\Program Files\SpySheriff\removed.wav;
      C:\Program Files\SpySheriff\SpySheriff.exe; C:\Program
      Files\SpySheriff\Uninstall.exe; C:\Program Files\SpySheriff\SpySheriff.dvm

– Cria o ficheiro seguinte que contém uma cópia do malware:
   • %PROGRAM FILES%\asdfasdfasdfasdfasdfasdfasdfasdf

%WINDIR%\desktop.html



Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • www.spy**********.com/trial.php?rest=0&ver=14087464&a=00000088
Encontra-se no disco rígido: %HOME%\Application Data\Install.dat Além disso executa-se depois do download estar completo.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows installer"="c:\winstall.exe"



Os valores das seguintes chaves registo do windows são eliminados:

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • pro

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • NoDesktop



As seguintes chaves de registo e todos os valores são eliminados:
   • [HKCU\SOFTWARE\Install]
   • [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components]
   • [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0]



São adicionadas as seguintes chaves ao registo:

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components]
   • "DeskHtmlVersion"=dword:00000110
   • "DeskHtmlMinorVersion"=dword:00000005
   • "Settings"=dword:00000001
   • "GeneralFlags"=dword:00000000

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0]
   • "Source"="About:Home"
   • "SubscribedURL"="About:Home"
   • "FriendlyName"="My Current Home Page"
   • "Flags"=dword:00000002
   • "Position"=hex:%valores hex%
   • "CurrentState"=dword:40000004
   • "OriginalStateInfo"=hex:%valores hex%
   • "RestoredStateInfo"=hex::%valores hex%



Altera as seguintes chaves de registo do Windows:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor anterior:
   • "Wallpaper"="%definições do utilizador %"
   Valor recente:
   • "Wallpaper"="%WINDIR%\desktop.html"

– [HKCU\Control Panel\Desktop]
   Valor anterior:
   • "Pattern"="%definições do utilizador %"
   Valor recente:
   • "Pattern"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor anterior:
   • "NoDriveTypeAutoRun"=dword:%definições do utilizador %
     "NoActiveDesktop"=dword:%definições do utilizador %
     "ClassicShell"=dword:%definições do utilizador %
     "ForceActiveDesktopOn"=dword:%definições do utilizador %
   Valor recente:
   • "NoDriveTypeAutoRun"=dword:00000091
     "NoActiveDesktop"=dword:00000000
     "ClassicShell"=dword:00000000
     "ForceActiveDesktopOn"=dword:00000001

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\General]
   Valor anterior:
   • "WallpaperFileTime"=hex:%definições do utilizador %
     "WallpaperLocalFileTime"=hex:%definições do utilizador %
     "TileWallpaper"="%definições do utilizador %"
     "WallpaperStyle"="%definições do utilizador %"
     "ComponentsPositioned"=dword:%definições do utilizador %
   Valor recente:
   • "WallpaperFileTime"=hex:be,a1,a0,ff,22,de,c5,01
     "WallpaperLocalFileTime"=hex:be,71,29,c3,33,de,c5,01
     "TileWallpaper"="0"
     "WallpaperStyle"="2"
     "ComponentsPositioned"=dword:00000002

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   Valor anterior:
   • "NoChangingWallpaper"=dword:%definições do utilizador %
     "NoComponents"=dword:%definições do utilizador %
     "NoAddingComponents"=dword:%definições do utilizador %
     "NoDeletingComponents"=dword:%definições do utilizador %
     "NoEditingComponents"=dword:%definições do utilizador %
     "NoHTMLWallPaper"=dword:%definições do utilizador %
   Valor recente:
   • "NoChangingWallpaper"=dword:00000000
     "NoComponents"=dword:00000000
     "NoAddingComponents"=dword:00000000
     "NoDeletingComponents"=dword:00000000
     "NoEditingComponents"=dword:00000000
     "NoHTMLWallPaper"=dword:00000000

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.

Descrição enviada por Iulia Diaconescu em terça-feira, 1 de novembro de 2005
Descrição atualizada por Iulia Diaconescu em segunda-feira, 12 de dezembro de 2005

Voltar . . . .