VírusTR/PSW.LdPinch.arh
Data em que surgiu:19/07/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:26.624 Bytes
MD5 checksum:793e4f6725174fe3ce8e5a684b8c0dc2
Versão VDF:6.35.00.183
Versão IVDF:6.35.00.223

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-PSW.Win32.LdPinch.arh


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\csrss.exe

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "system"="%WINDIR%\csrss.exe"



Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\csrss.exe"="%WINDIR%\csrss.exe:*:Enabled:csrss"

 E-mail Não tem a sua própria rotina de propagação mas tem capacidade para enviar um e-mail. É provável que o destinatário seja o autor. As características são as seguintes:


De:
O remetente do e-mail é o seguinte:
   • bolbes@topmail.kz


Para:
O destinatário do e-mail é o seguinte:
   • bolbes@topmail.kz


Assunto:
O seguinte:
   • Reportsss(%nome do computador%)



Corpo:
–  O corpo não tem texto.


Atalho:
O ficheiro de atalho tem o seguinte nome:
   • mass.bin
(%informação roubada%)

 Backdoor É aberta a seguinte porta:

– csrss.exe numa porta TCP 21 Por forma a fornecer um servidor FTP.

 Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave digitadas em 'campos de entrada de palavras-chave'
– Informações da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– As palavras-chave dos seguintes programas:
   • Mirabilis(ICQ)
   • RIT(The Bat)
   • Trillian
   • Outlook
   • CuteFTP
   • CuteFTP Pro
   • WS_FTP
   • Miranda IM
   • Opera
   • Mozilla
   • FileZilla
   • Punto Switcher
   • Total Commander
   • Windows Commander
   • Eudora

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Adriana Popa em sexta-feira, 21 de julho de 2006
Descrição atualizada por Andrei Gherman em sexta-feira, 21 de julho de 2006

Voltar . . . .