VírusTR/Proxy.Horst.bl
Data em que surgiu:19/04/2006
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:49.664 Bytes
MD5 checksum:d06bf79493e4e41528f9ebf2d96a34a1
Versão VDF:6.34.00.199
Versão IVDF:6.34.00.201 - quarta-feira, 19 de abril de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-Proxy.Win32.Horst.bl
   •  Bitdefender: Trojan.Proxy.Horst.Q


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\system\smss.exe



São criados os seguintes ficheiros:

%TEMPDIR%\tmp1.tmp Outras investigações apontam para que este ficheiro, também, seja malware.
%SYSDIR%\nvsvcd.exe Outras investigações apontam para que este ficheiro, também, seja malware.



Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://up.medbod.com/up/**********?jaal-1_%número% _%número%
Encontra-se no disco rígido: %TEMPDIR%\%número% exmodul32.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ".nvsvc"="%WINDIR%\system\smss.exe /w"



Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\Windows Log
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\nvsvcd.exe"
   • "DisplayName"="Windows Log"
   • "ObjectName"="LocalSystem"

– HKLM\SYSTEM\CurrentControlSet\Services\Windows Log\Security
   • "Security"=%valores hex%



A seguinte chave de registo e todos os valores são eliminados:
   • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50



É adicionada a seguinte chave de registo:

– HKCU\Software\Microsoft\PModule
   • "Hash"="%número hexadecimal%"
   • "Pid"=dword:00000c88

 E-mail De:
Endereços recolhidos na internet. Por favor não assuma que era intenção do remetente enviar este e-mail para si. Ele pode não saber que tem o computador infectado ou pode mesmo nem estar infectado. Além disso é possível que receba e-mails indicando que em


Para:
– Endereços recolhidos na internet:


Corpo:
– Contém código HTML.
O conteúdo é igual ao do ficheiro: http://seekj.lootseek.com/d/**********



O email pode ser parecido com o seguinte:


 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: info.cabmun.**********
Porta: 5190
Nickname: jaal-1_%número% _%número%

Servidor: up.barmuz.**********
Porta: 1021
Nickname: jaal-1_%número% _%número%


– Para além disso tem a capacidade de executar as seguintes acções:
    • Download de ficheiros
    • Executa o ficheiro

 Backdoor Contacta o servidor:
Seguinte:
   • http://rc.rizalof.com/**********?version=%número%



Envia informação sobre:
    • Situação actual de malware

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Ionut Slaveanu em quarta-feira, 14 de junho de 2006
Descrição atualizada por Ionut Slaveanu em quarta-feira, 28 de junho de 2006

Voltar . . . .