VírusTR/TComBill.O
Data em que surgiu:21/04/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:10.240 Bytes
MD5 checksum:79a56b6e3fdaf3d7fa6950e754cfa348
Versão VDF:6.34.00.214

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Small.coq
   •  TrendMicro: TROJ_DLOADER.DAY
   •  Bitdefender: Trojan.Downloader.Small.COQ


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Apaga a cópia executada inicialmente.



É criado o seguinte ficheiro:

%SYSDIR%\sysldr.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/TComBill.O.2

 Registry (Registo do Windows) O valor da seguinte chave Registo é eliminado:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • sysldr



É adicionada a seguinte chave de registo:

– [HKCR\CLSID\{%CLSID gerado%}\InprocServer32]
   • @ = sysldr.dll



O seguinte valor do registo é alterado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   Valor recente:
   • sysldr = {%CLSID gerado%}

 Backdoor Contacta o servidor:
Um dos seguintes:
   • http://dynafilmes.com.br/imagens/**********
   • http://soloaguia.com/imagens/**********
   • http://www.chiefmar.com/Images/**********
   • http://www.computerideasrl.it/immagini/**********
   • http://www.barpel.it/images/**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Isto é feito usando o método HTTP GET através de scripts PHP.


Envia informação sobre:
    • Situação actual de malware


Capacidades de controlo remoto:
    • Download de ficheiros
    • Executa o ficheiro

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %SYSDIR%\sysldr.dll

    Nome do processo:
   • svchost.exe


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Andrei Gherman em terça-feira, 25 de abril de 2006
Descrição atualizada por Andrei Gherman em terça-feira, 25 de abril de 2006

Voltar . . . .