VírusTR/BHO.D.4
Data em que surgiu:21/09/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:65.536 Bytes
MD5 checksum:9b1006feb6938a6924af7f2c6fcbee1d
Versão VDF:6.36.00.45
Versão IVDF:6.36.00.56 - segunda-feira, 25 de setembro de 2006

 Vulgarmente Alias:
   •  Symantec: Trojan.Nethell
   •  Mcafee: Nethell
   •  Kaspersky: Trojan.Win32.BHO.d
   •  Sophos: Troj/Nethell-E
   •  VirusBuster: trojan Trojan.BHO.AJ
   •  Bitdefender: Trojan.Nethell.E


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Bloqueia o acesso a determinados Web sites
   • Descarrega um ficheiro
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros É criado o seguinte ficheiro:

– Ficheiro não malicioso:
   • %SYSDIR%\acss.txt

 Registry (Registo do Windows) São adicionadas as seguintes chaves ao registo:

– HKCR\NetHelper.Hook.1
   • "(Default)"="Hook Class"

– HKCR\NetHelper.Hook.1\CLSID
   • "(Default)"="{1593C741-C011-46FE-99FC-3805C28328BA}"

– HKCR\NetHelper.Hook
   • "(Default)"="Hook Class"

– HKCR\NetHelper.Hook\CLSID
   • "(Default)"="{1593C741-C011-46FE-99FC-3805C28328BA}"

– HKCR\NetHelper.Hook\CurVer
   • "(Default)"="NetHelper.Hook.1"

– HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}
   • "(Default)"="Hook Class"

– HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\InprocServer32
   • "(Default)"="%ficheiro executado%"
   • "ThreadingModel"="Apartment"

– HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\ProgID
   • "(Default)"="NetHelper.Hook.1"

– HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\TypeLib
   • "(Default)"="{0324D9F1-2199-4424-98C7-A0E8CC45743B}"

– HKCR\CLSID\{1593C741-C011-46FE-99FC-3805C28328BA}\
   VersionIndependentProgID
   • "(Default)"="NetHelper.Hook"

– HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0
   • "(Default)"="NetHelper 1.0 Type Library"

– HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0\0\win32
   • "(Default)"="%ficheiro executado%"

– HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0\FLAGS
   • "(Default)"="0"

– HKCR\TypeLib\{0324D9F1-2199-4424-98C7-A0E8CC45743B}\1.0\HELPDIR
   • "(Default)"=""

– HKCR\Interface\{54DCBD5A-3FDC-490F-B9AE-5B9DBAA39BEC}
   • "(Default)"="IHook"

– HKCR\Interface\{54DCBD5A-3FDC-490F-B9AE-5B9DBAA39BEC}\
   ProxyStubClsid
   • "(Default)"="{00020424-0000-0000-C000-000000000046}"

– HKCR\Interface\{54DCBD5A-3FDC-490F-B9AE-5B9DBAA39BEC}\
   ProxyStubClsid32
   • "(Default)"="{00020424-0000-0000-C000-000000000046}"

– HKCR\Interface\{54DCBD5A-3FDC-490F-B9AE-5B9DBAA39BEC}\TypeLib
   • "(Default)"="{0324D9F1-2199-4424-98C7-A0E8CC45743B}"
   • "Version"="1.0"

– HKCU\Software\Nethelper
   • "LastTime"=%valores hex%

 Roubos de informação Tenta roubar a seguinte informação:
– Informações da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Captura:
    • Tráfico de Internet

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Bogdan Iliuta em quarta-feira, 27 de setembro de 2006
Descrição atualizada por Andrei Ivanes em sexta-feira, 20 de outubro de 2006

Voltar . . . .