VírusTR/Klog.Blue.A
Data em que surgiu:28/10/2005
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:24.520 Bytes
MD5 checksum:71a0e9a6f7290f9e68bc8d8218869929
Versão VDF:6.32.00.121

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Bitdefender: Trojan.Keylogger.Blue.A


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Guarda as teclas digitadas
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\zprot32.exe



São criados os seguintes ficheiros:

– C:\beta.htm
– C:\system.1st O ficheiro contém informação das teclas pressionadas.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "SystemSecurity"="zprot32.exe"

 Backdoor Contacta o servidor:
Seguinte:
   • http://**********.net/0000/1111-2222/3333-4444/5555-6666/7777-8888/9999-AAAA/BBBB.php

Isto é feito usando o método HTTP POST através de scripts PHP.


Envia informação sobre:
    • Palavras-chave armazenadas
    • Endereços de E-mail recolhidos
    • Logfiles criados

 Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave guardadas e que são usadas pela função AutoComplete
– Informações da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– As palavras-chave dos seguintes programas:
   • OutlookExpress
   • MSN messenger
   • WebMoney

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.

Descrição enviada por Irina Boldea em sexta-feira, 28 de outubro de 2005
Descrição atualizada por Irina Boldea em sexta-feira, 28 de outubro de 2005

Voltar . . . .