VírusTR/PSW.Small.BS.3
Data em que surgiu:12/09/2006
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:24.236 Bytes
MD5 checksum:782aa60074ea0620b2c974bf9f17507a
Versão VDF:6.35.01.216
Versão IVDF:6.35.01.220 - quarta-feira, 13 de setembro de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Mcafee: Spy-Agent.bg


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\9129837.exe



Apaga a cópia executada inicialmente.



É criado o seguinte ficheiro:

%WINDIR%\hide_evr2.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/PSW.Small.BS.3

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • ttool = %WINDIR%\9129837.exe



Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2]
   • Type = 1
   • Start = 3
   • ErrorControl = 0
   • ImagePath = \??\%WINDIR%\hide_evr2.sys
   • DisplayName = !!!!

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2\Security]
   • Security = %valores hex%

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2\Enum]
   • 0 = Root\LEGACY_HIDE_EVR2\0000
   • Count = 1
   • NextInstance = 1



É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\InetData]
   • k1 = %número hexadecimal%
   • k2 = %número hexadecimal%



O seguinte valor do registo é alterado:

Desactiva a Firewall do Windows
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • Start = %definições do utilizador %
   Valor recente:
   • Start = 4

 Terminar o processo  Os seguintes serviços são desactivados :
   • Security Center

 Backdoor É aberta a seguinte porta:

%WINDIR%\9129837.exe numa porta TCP aleatória de forma a fornecer um servidor proxy Socks 5.


Contacta o servidor:
Seguintes:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.

Envia informação sobre:
    • Palavras-chave armazenadas
    • Porta aberta
    • Informação recolhida na secção de roubos.


Capacidades de controlo remoto:
    • Download de ficheiros
    • Executa o ficheiro

 Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave digitadas em 'campos de entrada de palavras-chave'
– Palavras-chave guardadas e que são usadas pela função AutoComplete

 Tecnologia de Rootkit Oculta o seguinte:
– O seu próprio processo

– Os seguintes ficheiros:
   • 9129837.exe
   • hide_evr2.sys

– O seguinte valor do Registo:
   • ttool


Forma utilizada
    • Esconde-se na API do Windows

Bloqueia as seguintes funções API:
   • NtEnumerateValueKey / ZwEnumerateValueKey
   • NtQueryDirectoryFile / ZwQueryDirectoryFile
   • NtQuerySystemInformation / RtlGetNativeSystemInformation

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Andrei Gherman em quarta-feira, 27 de setembro de 2006
Descrição atualizada por Andrei Gherman em quarta-feira, 27 de setembro de 2006

Voltar . . . .