VírusTR/PSW.PdP.CT.1.E.3
Data em que surgiu:17/03/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:24.302 Bytes
MD5 checksum:741f81f6154bd5115028579dcb9da082
Versão VDF:6.34.00.61

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Goldun.iw
   •  VirusBuster: Rootkit.Agent.10
   •  Bitdefender: Trojan.Spy.Goldun.IW


Sistemas Operativos:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros São criados os seguintes ficheiros:

%SYSDIR%\axdebugl.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: BDS/Haxdoor.GJ.1

%SYSDIR%\axdebugld.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/PSW.PdP.CT.1.E.3

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– HKLM\SYSTEM\CurrentControlSet\Services\axdebugld
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\axdebugl.sys"
   • "DisplayName"="OPENSSL cryptoapi"

– HKLM\SYSTEM\CurrentControlSet\Services\axdebugld\Security
   • "Security"=%valores hex%

– HKLM\SYSTEM\CurrentControlSet\Services\axdebugld\Enum
   • "0"="Root\\LEGACY_AXDEBUGLD\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AXDEBUGLD
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AXDEBUGLD\0000
   • "Service"="axdebugld"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="OPENSSL cryptoapi"

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AXDEBUGLD\0000\
   Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="axdebugld"



É adicionada a seguinte chave de registo:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   axdebugl
   • "DllName"="axdebugl.dll"
   • "Startup"="axdebugl"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001
   • "nk48id"="[%número hexadecimal%]"

 Backdoor Contacta o servidor:
Seguinte:
   • servername1.com/**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Também, repete a ligação periodicamente. Isto é feito pelos métodos HTTP GET e POOS usando scripts PHP.


Envia informação sobre:
    • Palavras-chave armazenadas
    • Informação recolhida na secção de roubos.

 Roubos de informação Tenta roubar a seguinte informação:
– Informações da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– As palavras-chave dos seguintes programas:
   • Miranda
   • Internet Explorer
   • Mozilla
   • Maxthon
   • The Bat
   • Msn
   • Icq
   • Opera

– É iniciada uma rotina de logging depois de visitar um Web site:
   • e-gold.com

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: axdebugl.sys

    Nome do processo:
   • explorer.exe


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Sergiu Oprea em segunda-feira, 10 de abril de 2006
Descrição atualizada por Sergiu Oprea em terça-feira, 11 de abril de 2006

Voltar . . . .