VírusTR/NSAnti.B.3
Data em que surgiu:28/07/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:30.855 Bytes
MD5 checksum:7ef7d92faee21f9940dd89140A231ef0
Versão VDF:6.35.01.15

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-PSW.Win32.Lmir.ayt
   •  TrendMicro: TSPY_DELF.BVH
   •  Bitdefender: Trojan.NSAnti.B


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\help\ZTpass.exe
   • %WINDIR%\help\ZTYX.CHI



É criado o seguinte ficheiro:

%WINDIR%\help\ZThook.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/PSW.Lmir.awj.1

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\ZTmassacre]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\help\ZTpass.exe"
   • "DisplayName"="ZT Massacre"
   • "ObjectName"="LocalSystem"
   • "Description"="ZTmassacre"

– [HKLM\SYSTEM\CurrentControlSet\Services\ZTmassacre\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\ZTmassacre\Enum]
   • "0"="Root\\LEGACY_ZTMASSACRE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Informações diversas Ligação à internet:

Examina com o seguinte nome:
   • yhb1978.3322.org

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Daniel Constantin em quarta-feira, 9 de agosto de 2006
Descrição atualizada por Daniel Constantin em quarta-feira, 9 de agosto de 2006

Voltar . . . .