VírusTR/Nichgig
Data em que surgiu:28/06/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:10.901 Bytes
MD5 checksum:62c776499583a39c3e613ead52e23c9c
Versão VDF:6.35.00.87
Versão IVDF:6.35.00.95 - quinta-feira, 29 de junho de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: Trojan.Gobrena
   •  Mcafee: PWS-Goldun.dr
   •  Kaspersky: Trojan-Spy.Win32.Goldun.mf
   •  F-Secure: Trojan-Spy.Win32.Goldun.mf
   •  VirusBuster: TrojanSpy.Goldun.LG
   •  Eset: Win32/Spy.Goldun.LX


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros  Cria a seguinte pasta:
   • %TEMPDIR%\4185XXXX



São criados os seguintes ficheiros:

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %TEMPDIR%\4185XXXX\%número% .tmp

%SYSDIR%\hdtvu6.dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Spy.Goldun.ME

%SYSDIR%\nkudpn1.sys Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Nichgig

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"="\??\%SYSDIR%\nkudpn1.sys"
   • "DisplayName"="NKU UDPN1-01"

– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1\Enum
   • "0"="Root\LEGACY_NKUDPN1\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1\Security
   • "Security"=%valores hex%



É adicionada a seguinte chave de registo:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   hdtvu6
   • "DllName"="hdtvu6.dll"
   • "Startup"="hdtvu6"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control
   • "isfr2"="[%número% [%current user%]"

 Backdoor Contacta o servidor:
Seguinte:
   • www.proxyland.net/**********

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP POST através de scripts PHP.


Envia informação sobre:
    • Informação recolhida na secção de roubos.
    • Informação sobre o sistema operativo Windows

 Roubos de informação Tenta roubar a seguinte informação:
– Informações da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– É iniciada uma rotina de logging depois de visitar um Web site:
   • https://www.e-gold.com/acct/login.html

– Captura:
    • Informação de login

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %SYSDIR%\hdtvu6.dll

    Nome do processo:
   • %são iniciados todos os processos logo que o malware fica activo
      na memória%


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • FSG

Descrição enviada por Teodor Onisor em terça-feira, 19 de setembro de 2006
Descrição atualizada por Teodor Onisor em quarta-feira, 20 de setembro de 2006

Voltar . . . .