VírusTR/PSW.Raven.A
Data em que surgiu:10/03/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:31.913 Bytes
MD5 checksum:8b0908665655c086ae2277f913ec9a86
Versão VDF:6.34.00.26

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-PSW.Win32.Raven.a


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\msoff.exe



São criados os seguintes ficheiros:

– %ALLUSERSPROFILE%\Documents\Settings\raven2BGps É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %informação roubada%

– %ALLUSERSPROFILE%\Documents\Settings\raven2BGlog_temp%uma série de caracteres aleatórios% É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %informação roubada%

%TEMPDIR%\jav2.tmp Outras investigações apontam para que este ficheiro, também, seja malware.
– %ALLUSERSPROFILE%\Documents\Settings\desktop.ini Contém parâmetros utilizados pelo malware.
– %ALLUSERSPROFILE%\raven2BG_%uma série de caracteres aleatórios%dat O ficheiro serve para activar rotinas internas.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Office = %SYSDIR%\msoff.exe

 Backdoor É aberta a seguinte porta:

– svchost.exe numa porta TCP aleatória de forma a fornecer um servidor proxy Socks 5.


Contacta o servidor:
Seguintes:
   • http://downboost.com/m/**********
   • ftp://dust.downboost.com

Como resultado pode enviar alguma informação.

Envia informação sobre:
    • Logfiles criados
    • Utilizador Actual
    • Endereço IP
    • Porta aberta
    • Informação sobre o sistema operativo Windows


Capacidades de controlo remoto:
    • Inicia o keylog

 Roubos de informação Tenta roubar a seguinte informação:
– Informações da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– É iniciada uma rotina de logging depois de visitar um Web site, que contenha o seguinte texto no URL:
   • %parâmetro inserido%

– Captura:
    • Janela de informação
    • Informação de login

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %TEMPDIR%\jav2.tmp

    Todos os processos que se seguem:
   • svchost.exe
   • lsass.exe


 Informações diversas Mutex:
Cria os seguintes Mutexes:
   • raven2BG_mutex_file_fake
   • raven2BG_mutex_file_vk
   • raven2BG_mutex_file_body
   • raven2BG_mutex_file_afil
   • raven2BG_event_upd_fake
   • raven2BG_event_upd_vk
   • raven2BG_event_upd_body
   • raven2BG_event_upd_afil
   • raven2BG_event_upd_packs
   • raven2BG_event_kw

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • FSG 2.0

Descrição enviada por Andrei Gherman em quarta-feira, 15 de março de 2006
Descrição atualizada por Andrei Gherman em quarta-feira, 15 de março de 2006

Voltar . . . .