Full description

Vírus	TR/PSW.WOW.AT.3
Data em que surgiu:	16/08/2006
Tipo:	Trojan
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	46.564 Bytes
MD5 checksum:	156b6eb8383244bd63285e229ee7dbac
Versão VDF:	6.35.01.99
Versão IVDF:	6.35.01.100 - quarta-feira, 16 de agosto de 2006

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Kaspersky: Trojan-PSW.Win32.WOW.fl
   • TrendMicro: TSPY_WOW.KG
   • Bitdefender: Trojan.PWS.WOW.AD

Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega um ficheiro
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows
   • Informação de roubos

Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\Debug\DebugProgram.exe
   • %SYSDIR%\regedit.com
   • %SYSDIR%\dxdiag.com
   • %SYSDIR%\MSCONFIG.COM
   • %unidade%:\pagefile.pif
   • %unidade%:\autorun.inf
   • %WINDIR%\ExERoute.exe
   • %WINDIR%\1.com
   • %WINDIR%\explorer.com
   • %PROGRAM FILES%\Common Files\iexplore.pif
   • %PROGRAM FILES%\Common Files\iexplore.com
   • %WINDIR%\finder.com
   • %SYSDIR%\command.pif
   • %SYSDIR%\finder.com
   • %SYSDIR%\rundll32.com
   • %WINDIR%\WINLOGON.EXE

É criado o seguinte ficheiro:

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Torjan Program"="%WINDIR%\WINLOGON.EXE"

São adicionadas as seguintes chaves ao registo:

– HKCU\Software\VB and VBA Program Settings\Microsoft Soft Debuger\
   Settings
   • "GUID"="{%CLSID%}"

– HKCR\.exe
   • "(Default)"="winfiles"

– HKCR\winfiles\Shell\Open\Command
   • "(Default)"="%WINDIR%\ExERoute.exe "%1" %*"

– HKCR\winfiles\DefaultIcon
   • "(Default)"="%1"

– HKCR\winfiles
– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "Shell"="Explorer.exe 1"

– HKCR\Drive\shell\find\command
   • "(Default)"="%SystemRoot%\explorer.com"

– HKCR\http\shell\open\command
   • "(Default)"=""%PROGRAM FILES%\common files\iexplore.pif" -nohome"

– HKCR\htmlfile\shell\opennew\command
   • "(Default)"=""%PROGRAM FILES%\common files\iexplore.pif" %1"

– HKCR\ftp\shell\open\command
   • "(Default)"=""%PROGRAM FILES%\Internet Explorer\iexplore.com" %1"

– HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\
   OpenHomePage\Command
   • "(Default)"=""%PROGRAM FILES%\Internet Explorer\iexplore.com""

– HKCR\Applications\iexplore.exe\shell\open\command
   • "(Default)"=""%PROGRAM FILES%\Internet Explorer\iexplore.com" %1"

– HKCU\Software\Microsoft\Internet Explorer\Main
   • "Check_Associations"="No"

– HKCR\htmlfile\shell\open\command
   • "(Default)"=""%PROGRAM FILES%\Internet Explorer\iexplore.com" -nohome"

– HKCR\Unknown\shell\openas\command
   • "(Default)"="%SystemRoot%\system32\finder.com %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"

– HKCR\telnet\shell\open\command
   • "(Default)"="finder.com url.dll,TelnetProtocolHandler %l"

– HKCR\scriptletfile\Shell\Generate Typelib\command
   • "(Default)"=""%SYSDIR%\finder.com" %SYSDIR%\scrobj.dll,GenerateTypeLib "%1""

– HKCR\scrfile\shell\install\command
   • "(Default)"="finder.com desk.cpl,InstallScreenSaver %l"

– HKCR\InternetShortcut\shell\open\command
   • "(Default)"="finder.com shdocvw.dll,OpenURL %l"

– HKCR\inffile\shell\Install\command
   • "(Default)"="%SystemRoot%\System32\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"

– HKCR\htmlfile\shell\Print\command
   • "(Default)"=""%PROGRAM FILES%\Microsoft Office\Office10\msohtmed.exe" /p %1"

– HKCR\dunfile\shell\open\command
   • "(Default)"="%SystemRoot%\system32\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

– HKCR\cplfile\shell\cplopen\command
   • "(Default)"="rundll32.com shell32.dll,Control_RunDLL %1,%*"

– HKCR\.bfc\ShellNew
   • "command"="%SystemRoot%\system32\rundll32.com %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1"

– HKCR\.lnk\ShellNew
   • "command"="rundll32.com appwiz.cpl,NewLinkHere %1"

– HKCU\Software\Microsoft\Visual Basic\5.0

Terminar o processo A seguinte lista de processos são terminados:
• RAVMON.EXE; TROJDIE; KPOP; CCENTER; ASSISTSE; KPFW; AGENTSVR; KREG;
IEFIND; IPARMOR; SVI.EXE; UPHC; RULEWIZE; FYGT; RFWSRV; RFWMA

Roubos de informação Tenta roubar a seguinte informação:

– As palavras-chave dos seguintes programas:
   • World of Warcraft
   • The Legend of Mir

– É iniciada uma rotina de logging depois de visitar um dos seguintes Web sites, que contenha um dos seguintes textos no URL:
   • us.logon.worldofwarcraft.com
   • eu.logon.worldofwarcraft.com
   • tw.logon.worldofwarcraft.com

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Visual Basic.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Marius T. Nicolae em quarta-feira, 13 de setembro de 2006
Descrição atualizada por Andrei Ivanes em sexta-feira, 6 de outubro de 2006

Voltar . . . .

Proteçao especial para PCs

Produtos gratuitos

Produtos mais populares

Todos os produtos

Soluçoes em pacote

Estaçoes de trabalho

Server

Soluçoes em pacote

Mail Gateways

Web Gateways

Plataformas de colaboraçao

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas