VírusTR/Agent.121
Data em que surgiu:17/03/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:24.577 Bytes
MD5 checksum:27cdc487080B61e035fffb686fd882ae
Versão VDF:6.34.00.61

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: PWSteal.Reoxtan
   •  Mcafee: PWS-Reox
   •  TrendMicro: TSPY_REOX.F
   •  Bitdefender: Trojan.Spy.Reox.E


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\service\explorer.exe



É criado o seguinte ficheiro:

%SYSDIR%\service\dllp.txt É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %informação roubada%




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://ccunion.org/**********
Encontra-se no disco rígido: %SYSDIR%\compress.exe

 Registry (Registo do Windows) A chave seguinte é adicionada (num loop infinito) ao registo, para executar os processos depois de reinicializar.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • 1 = %SYSDIR%\service\explorer.exe



Altera as seguintes chaves de registo do Windows:

Desactiva a Firewall do Windows
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\]
   Valor recente:
   • DoNotAllowExceptions = 0
   • EnableFirewall = 0
   • DisableNotifications = 1

– [HKLM\SOFTWARE\Microsoft\Security Center\]
   Valor recente:
   • AntiVirusDisableNotify = 1

 Backdoor É aberta a seguinte porta:

%SYSDIR%\service\explorer.exe numa porta TCP 47800 de forma a fornecer um servidor proxy.


Contacta o servidor:
Seguintes:
   • http://ccunion.org/**********
   • http://ccunion.org/**********
   • http://ccunion.org/**********
   • http://ccunion.org/**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Isto é feito pelos métodos HTTP GET e POOS usando scripts PHP.


Envia informação sobre:
    • Palavras-chave armazenadas
    • Nome do computador
    • Logfiles criados
    • Endereço IP
    • Informações sobre a rede
    • Porta aberta
    • Informação sobre processos em execução
    • Informação recolhida na secção de roubos.


Capacidades de controlo remoto:
    • Download de ficheiros
    • Executa o ficheiro
    • Inicia o keylog

 Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave guardadas e que são usadas pela função AutoComplete

– As palavras-chave dos seguintes programas:
   • Outlook
   • Far
   • The Bat
   • WinCmd
   • Edialer

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • MEW

Descrição enviada por Andrei Gherman em sexta-feira, 7 de abril de 2006
Descrição atualizada por Andrei Gherman em sexta-feira, 7 de abril de 2006

Voltar . . . .