VírusTR/PSW.Lmir.art
Data em que surgiu:20/02/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:17.721 Bytes
MD5 checksum:67f583cb9d699b581fde383c48af46bc
Versão VDF:6.33.01.07

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-PSW.Win32.Lmir.art


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\winser.exe



Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

%WINDIR%\vbarun.dll É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • [Shutdown]
     T=
     M=
     D=
     W=

%SYSDIR%\GroupPolicy\Machine\Scripts\scripts.ini É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • [Shutdown]
     0CmdLine=%SYSDIR%\winser.exe
     0Parameters=AVP

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • KernelCheck = %SYSDIR%\winser.exe



É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\wSkysoft]

 Terminar o processo A seguinte lista de processos são terminados:
   • assistse.exe; kregex.exe; trojdie.kxp; kvsrvxp.exe; kvmonxp.kxp;
      frogagent.exe; kvxp.kxp; ccenter.exe; ravmond.exe; ravmon.exe;
      rfwmain.exe; rfwsrv.exe; kpfwsvc.exe; kavpfw.exe; kavstart.exe;
      kmailmon.exe; kwatch.exe; avp.exe; kav.exe; kavsvc.exe; rtvscan.exe;
      ccsetmgr.exe; defwatch.exe; ccevtmgr.exe; ccapp.exe; mcshield.exe;
      mcvsescn.exe; mcdetect.exe; mcmnhdlr.exe; trojanwall.exe;
      fygtcleaner.exe; mantispm.exe; vsmon.exe; isafe.exe; zlclient.exe;
      pcclient.exe; pcctlcom.exe; tmpfw.exe; tmntsrv.exe; tmproxy.exe;
      pccguide.exe; iparmor.exe; xfilter.exe; filmsg.exe; avengine.exe;
      pavsrv51.exe; psimsvc.exe; pavprsrv.exe; tpsrv.exe; pavprsrv.exe;
      apvxdwin.exe; srvload.exe; webproxy.exe


Lista de serviços desactivados:
   • KVSrvXP; KVWSC; RsCCenter; RsRavMon; RfwService; KWatchSvc; KPfwSvc;
      AVP; kavsvc; McTskshd.exe; McDetect.exe; CAISafe; vsmon; Tmntsrv;
      PcCtlCom; TmPfw; tmproxy; pmshellsrv; PAVSRV; PAVFNSVR; PSIMSVC;
      PNMSRV; PavPrSrv; TPSrv

 Backdoor Envia informação sobre:
    • Palavras-chave armazenadas
    • Nome do computador
    • Actividade do utilizador
    • Informação sobre o sistema operativo Windows

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • FSG

Descrição enviada por Andrei Gherman em sexta-feira, 24 de fevereiro de 2006
Descrição atualizada por Andrei Gherman em segunda-feira, 27 de fevereiro de 2006

Voltar . . . .