VírusTR/NSAnti.A.319
Data em que surgiu:29/05/2006
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:283.656 Bytes
MD5 checksum:5164477c6eac422c840Dbf1d658f599b
Versão VDF:6.34.01.29
Versão IVDF:6.34.01.30 - quarta-feira, 3 de maio de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  TrendMicro: BKDR_HUIGEZI.W
   •  Bitdefender: Trojan.NSAnti.A


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\GAME.exe



Apaga a cópia executada inicialmente.



É criado o seguinte ficheiro:

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %WINDIR%\uninstal.bat




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %WINDIR%\uninstal.bat
Este ficheiro de processamento em lote é usado para apagar um ficheiro.

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– [HKLM\SYSTEM\ControlSet001\Services\Colume]
   • "Description"="╣▄└φ▒╕╖▌,╣╪▒╒║≤╜½▓╗─▄╜°╨╨╧╡═│╗╣╘¡"
   • "ImagePath"="%WINDIR%\GAME.exe"
   • "ObjectName"="LocalSystem"
   • "DisplayName"="Colume"
   • "ErrorControl"=dword:00000000
   • "Start"=dword:00000002
   • "Type"=dword:00000110

– [HKLM\SYSTEM\ControlSet001\Services\Colume\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COLUME\0000\Control]
   • "ActiveService"="Colume"
   • "*NewlyCreated*"=dword:00000000

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COLUME]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COLUME\0000]
   • "DeviceDesc"="Colume"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "Class"="LegacyDriver"
   • "ConfigFlags"=dword:00000000
   • "Legacy"=dword:00000001
   • "Service"="Colume"

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COLUME\0000\Control]
   • "ActiveService"="Colume"
   • "*NewlyCreated*"=dword:00000000

– [HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent]
   • @=dword:00000010

 Backdoor Contacta o servidor:
Seguinte:
   • http://qcqcz.bd7x.com/**********

Também, repete a ligação periodicamente.

Envia informação sobre:
    • Nome do computador
    • Informação sobre o sistema operativo Windows

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Alexandru Tudor em segunda-feira, 29 de maio de 2006
Descrição atualizada por Alexandru Tudor em terça-feira, 6 de junho de 2006

Voltar . . . .