VírusTR/PSW.Small.BS.2
Data em que surgiu:12/09/2006
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:12.592 Bytes
MD5 checksum:978ded8c7055e4c5e650600D2fcc0C3f
Versão VDF:6.35.01.216
Versão IVDF:6.35.01.220 - quarta-feira, 13 de setembro de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Sophos: Troj/PWS-HP
   •  Bitdefender: Trojan.PSW.Small.B


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\9129837.exe



Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

%WINDIR%\hide_evr2.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/PSW.Small.BS.3

%directório de execução do malware%\a.bat Este ficheiro de processamento em lote é usado para apagar um ficheiro.

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\9129837.exe"



São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000000
     "ImagePath"=\??\%WINDIR%\hide_evr2.sys
     "DisplayName"="!!!!"

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Enum]
   • "0"="Root\\LEGACY_HIDE_EVR2\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=%uma série de caracteres aleatórios%
   • "k2"=%uma série de caracteres aleatórios%

 Backdoor É aberta a seguinte porta:
numa porta UDP aleatória Por forma a fornecer capacidades backdoor.


Contacta o servidor:
Seguintes:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Isto é feito pelos métodos HTTP GET e POOS usando scripts PHP.


Envia informação sobre:
    • Situação actual de malware
    • Informação recolhida na secção de roubos.

 Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave digitadas em 'campos de entrada de palavras-chave'

– É iniciada uma rotina de logging depois de visitar um Web site:
   • %qualquer website que contenha um formulário de login%

– Captura:
    • Janela de informação
    • Janela do Browser

 Tecnologia de Rootkit Oculta o seguinte:
– Os seus próprios ficheiros
– O seu próprio processo
– As suas próprias chaves de registo


Forma utilizada
    • Esconde-se na API do Windows

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Marius T. Nicolae em sexta-feira, 22 de setembro de 2006
Descrição atualizada por Andrei Ivanes em quinta-feira, 19 de outubro de 2006

Voltar . . . .