Full description

Vírus	ADSPY/Virtumonde.B
Data em que surgiu:	14/06/2006
Tipo:	Trojan
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	47.629 Bytes
MD5 checksum:	5b00c4a26bfb132b7c5b8692949d227b
Versão VDF:	6.35.00.23
Versão IVDF:	6.35.00.29 - quinta-feira, 15 de junho de 2006

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Kaspersky: not-a-virus:AdWare.Win32.Virtumonde.by
   • TrendMicro: TROJ_VUNDO.BC
   • Bitdefender: Trojan.Virtumod.T

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega um ficheiro
   • Descarrega um ficheiro malicioso
   • Possibilita acesso não autorizado ao computador

Ficheiros Apaga a cópia executada inicialmente.

São criados os seguintes ficheiros:

– %SYSDIR%\%sete caracteres aleatórios%.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: ADSPY/Virtumonde.B

– %TEMPDIR%\removalfile.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.

Registry (Registo do Windows) São adicionadas as seguintes chaves ao registo:

– [HKCR\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}\InprocServer32]
   • @="%SYSDIR%\%sete caracteres aleatórios%.dll"
   • "ThreadingModel"="Both"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   vtutrrq]
   • "Asynchronous"=dword:00000001
   • "DllName"="%sete caracteres aleatórios%"
   • "Impersonate"=dword:00000000
   • "Logon"="Logon"
   • "Logoff"="Logoff"

Backdoor Contacta o servidor:
Seguintes:
   • http://82.98.235.63/cgi-bin/check/**********
   • http://85.12.25.**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.

Envia informação sobre:
    • Situação actual de malware

Capacidades de controlo remoto:
    • Download de ficheiros

Introdução de código viral noutros processos – Introduz o seguinte ficheiro num processo: %SYSDIR%\%sete caracteres aleatórios%.dll

    Todos os processos que se seguem:
   • explorer.exe
   • WINLOGON.EXE

Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.

Oculta o seguinte:
– Os seus próprios ficheiros

Descrição enviada por Marius T. Nicolae em quarta-feira, 6 de setembro de 2006
Descrição atualizada por Andrei Ivanes em terça-feira, 5 de dezembro de 2006

Voltar . . . .