VírusTR/PSW.Maran.G.5
Data em que surgiu:02/08/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:52.599 Bytes
MD5 checksum:c851c808d7a10F0E45a7f0771b152a64
Versão VDF:6.35.01.35
Versão IVDF:6.35.01.35

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %SYSDIR%\sporder.dll

%SYSDIR%\gzfmxp.dll
%SYSDIR%\hjxrbpv.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/PSW.Maran.M

%SYSDIR%\narbpv.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/PSW.Maran.M.1

%SYSDIR%\xprasu.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/PSW.Maran.M.2

%SYSDIR%\xpvlporn.dll Outras investigações apontam para que este ficheiro, também, seja malware.

 Registry (Registo do Windows) É adicionada a seguinte chave de registo:

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000013
   • "PackedCatalogItem"=%SYSDIR%\xprasu.dll%valores hex%



Altera as seguintes chaves de registo do Windows:

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9
   Valor recente:
   • "Serial_Access_Num"=word:00000006
     "Next_Catalog_Entry_ID"=word:000003f6
     "Num_Catalog_Entries"=word:0000000d

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000012
   Valor recente:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000011
   Valor recente:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000010
   Valor recente:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll.6%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000009
   Valor recente:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll.6%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000008
   Valor recente:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000007
   Valor recente:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000006
   Valor recente:
   • "PackedCatalogItem"=%SystemRoot%\system32\rsvpsp.dll%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000005
   Valor recente:
   • "PackedCatalogItem"=%SystemRoot%\system32\rsvpsp.dll%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000004
   Valor recente:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000003
   Valor recente:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000002
   Valor recente:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000001
   Valor recente:
   • "PackedCatalogItem"=%SYSDIR%\xprasu.dll%valores hex%

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Marius T. Nicolae em segunda-feira, 18 de setembro de 2006
Descrição atualizada por Andrei Ivanes em quarta-feira, 18 de outubro de 2006

Voltar . . . .