VírusTR/Agent.AKB.2
Data em que surgiu:18/10/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:646.419 Bytes
MD5 checksum:1c3569b0b1a18f7d627e7a75d83e473b
Versão VDF:6.36.00.127
Versão IVDF:6.36.00.144 - sexta-feira, 20 de outubro de 2006

 Vulgarmente Alias:
   •  Kaspersky: Backdoor.Win32.VB.awr


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Bloqueia o acesso a determinados Web sites
   • Desactiva aplicações de segurança
   • Descarrega um ficheiro
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\svchost.exe



Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

– Ficheiro não malicioso:
   • %WINDIR%\MSWINSCK.OCX

%WINDIR%\offlog.txt O ficheiro contém informação das teclas pressionadas.

 Registry (Registo do Windows) As chaves seguintes são adicionadas (num loop infinito) ao registo, para executar os processos depois de reinicializar.

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {C010EB0F-A43D-A989-FF0A-C6CF6D0D5EB3}
   • "StubPath"="%WINDIR%\scvhost.exe"



O seguinte valor do registo é alterado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
   Valor anterior:
   • "DisableRegistryTools"=%definições do utilizador %
   Valor recente:
   • "DisableRegistryTools"=dword:00000001

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso valores existentes serão alterados.

– O acesso aos seguintes domínios é bloqueado:
   • dl1.avgate.net
   • dl2.avgate.net
   • dl3.avgate.net
   • dl4.avgate.net
   • dl5.avgate.net
   • dl6.avgate.net
   • dl7.avgate.net
   • dl8.avgate.net
   • dl9.avgate.net


 Terminar o processo  Lista de serviços desactivados:
   • NOD32krn
   • navapsvc
   • AntiVirService
   • antivir

 Backdoor Contacta o servidor:
Seguinte:
   • exclusive72.no-ip.**********:1338

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.

 Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave digitadas em 'campos de entrada de palavras-chave'

– Captura:
    • Teclar

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Bogdan Iliuta em segunda-feira, 30 de outubro de 2006
Descrição atualizada por Bogdan Iliuta em quarta-feira, 15 de novembro de 2006

Voltar . . . .