VírusTR/Proxy.Lager.AQ.9
Data em que surgiu:07/04/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:51.603 Bytes
MD5 checksum:4c5251efd0bae37655d169065206519f
Versão VDF:6.34.00.165

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Packed.Win32.Tibs
   •  VirusBuster: virus Trojan.PR.Lager.Gen!Pac1


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro
   • Descarrega um ficheiro
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros São criados os seguintes ficheiros:

– Ficheiro não malicioso:
   • %SYSDIR%\zlbw.dll

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %SYSDIR%\log.txt

%SYSDIR%\taskdir.dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Proxy.Lager.AQ.1




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://216.255.179.238/new/cntr/bin/**********
Encontra-se no disco rígido: %SYSDIR%\taskdir~.exe Além disso executa-se depois do download estar completo. Ainda em fase de pesquisa.

 Registry (Registo do Windows) São adicionadas as seguintes chaves ao registo:

– [HKEY_CURRENT_USER]
   • "ColorTable19"=dword:%número hexadecimal%
   • "ColorTable20"=dword:%número hexadecimal%

 Backdoor Contacta o servidor:
Seguintes:
   • 216.255.179.238/new/cntr/**********
   • 69.50.161.106/n/**********
   • 69.50.184.194/n/**********
   • 216.255.179.238/new/cls/**********
   • 81.177.3.175/n/**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Isto é feito pelos métodos HTTP GET e POOS usando scripts PHP.


Envia informação sobre:
    • Nome do computador
    • Situação actual de malware


Capacidades de controlo remoto:
    • Envia emails

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: taskdir.dll

    Nome do processo:
   • %são iniciados todos os processos logo que o malware fica activo
      na memória%


 Informações diversas Mutex:
Cria o seguinte Mutex:
   • _alanchum

 Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.


Oculta o seguinte:

– Ficheiros que contenham o seguinte conjunto de caracteres no nome de ficheiro:
   • taskdir

– Processos que contenham o seguinte conjunto de caracteres no nome de ficheiro:
   • taskdir

– O seguinte valor do Registo:
   • taskdir


Forma utilizada
    • Esconde-se na API do Windows

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Daniel Constantin em sexta-feira, 7 de abril de 2006
Descrição atualizada por Daniel Constantin em quarta-feira, 12 de abril de 2006

Voltar . . . .