VírusTR/Enfal.E
Data em que surgiu:05/08/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:65.586 Bytes
MD5 checksum:a6707ce1a445eb7f75abdb82b23dbd8c
Versão VDF:6.35.01.53 - sábado, 5 de agosto de 2006
Versão IVDF:6.35.01.53 - sábado, 5 de agosto de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Mcafee: Enfal
   •  Kaspersky: Trojan.Win32.Enfal.d
   •  TrendMicro: WORM_AGENT.DJI
   •  Bitdefender: Trojan.Enfal.D


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\Winkrnl.exe
   • %SYSDIR%\DisMgnt.exe



Apaga a cópia executada inicialmente.

 Registry (Registo do Windows) O seguinte valor do registo é alterado:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Valor anterior:
   • "Userinit"="%sysdir%\userinit.exe,"
   Valor recente:
   • "Userinit"="%sysdir%\userinit.exe,%sysdir%\DisMgnt.exe"

 Backdoor Contacta o servidor:
Um dos seguintes:
   • http://www.luck4us.com/http**********
   • http://www.luck4us.com/http**********
   • http://www.luck4us.com/http**********
   • http://www.luck4us.com/http**********
   • http://www.luck4us.com/http**********

Seguinte:
   • http://www.luck4us.com**********

Como resultado pode enviar alguma informação. Também, repete a ligação periodicamente. Isto é feito usando o método HTTP POST através de scripts CGI.


Envia informação sobre:
    • Nome do computador
    • Endereço MAC

 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa remota num processo.

    Nome do processo:
   • %WINDIR%\explorer.exe


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.

Descrição enviada por Teodor Onisor em terça-feira, 8 de agosto de 2006
Descrição atualizada por Teodor Onisor em terça-feira, 8 de agosto de 2006

Voltar . . . .