VírusTR/Spy.Haxspy.AE
Data em que surgiu:21/07/2006
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:10.824 Bytes
MD5 checksum:9471026d4c6e1911e317af28ac259a6b
Versão VDF:6.34.01.155
Versão IVDF:6.34.01.161 - terça-feira, 30 de maio de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: Trojan.Goldun
   •  Kaspersky: Trojan-Spy.Win32.Haxspy.ae
   •  TrendMicro: TSPY_GOLDUN.AO
   •  VirusBuster: TrojanSpy.Haxspy.Y
   •  Bitdefender: Trojan.Spy.Haxspy.AE


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros É criado o seguinte ficheiro:

%SYSDIR%\wndtx1.dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Bolol.A.4

%SYSDIR%\ipudpb2.sys Detectado como: TR/Spy.Haxspy.AE

 Registry (Registo do Windows) São adicionadas as seguintes chaves ao registo:

– [HKLM\SYSTEM\CurrentControlSet\Control]
   • "isfr2"="[%uma série de caracteres aleatórios%[%nome do utilizador actual% ]"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   wndtx1]
   • "DllName"=wndtx1.dll
   • "Startup"="wndtx1"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=\??\%SYSDIR%\IPUDPB2.SYS
   • "DisplayName"="IP2 UDPB2"

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2\Enum]
   • "0"="Root\\LEGACY_IPUDPB2\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



O seguinte valor do registo é alterado:

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   Valor anterior:
   • "PendingFileRenameOperations"=%valores hex%
   Valor recente:
   • "PendingFileRenameOperations"=%valores hex%

 Backdoor Contacta o servidor:
Seguinte:
   • http://www.salidol.biz/**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Isto é feito pelos métodos HTTP GET e POOS usando scripts PHP.


Envia informação sobre:
    • Utilizador Actual
    • Informação recolhida na secção de roubos.
    • Informação sobre o sistema operativo Windows

 Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave digitadas em 'campos de entrada de palavras-chave'

– É iniciada uma rotina de logging depois de visitar um dos seguintes Web sites:
   • http://www.e-gold.com
   • %qualquer web site HTTPS que tenha um formulário de login%

– Captura:
    • Janela de informação
    • Janela do Browser
    • Informação de login

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %SYSDIR%\wndtx1.dll

    Todos os processos que se seguem:
   • iexplore.exe
   • %são iniciados todos os processos logo que o malware fica activo na memória%


 Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.


Oculta o seguinte:


Forma utilizada
    • Esconde-se na API do Windows

Bloqueia as seguintes funções API:
   • NtCreateProcess
   • NtCreateProcessEx
   • ZwCreateProcess
   • ZwCreateProcessEx

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • FSG

Descrição enviada por Monica Ghitun em sexta-feira, 21 de julho de 2006
Descrição atualizada por Monica Ghitun em quarta-feira, 2 de agosto de 2006

Voltar . . . .