VírusADSPY/Virtumonde.B
Data em que surgiu:14/06/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:47.629 Bytes
MD5 checksum:5b00c4a26bfb132b7c5b8692949d227b
Versão VDF:6.35.00.23
Versão IVDF:6.35.00.29 - quinta-feira, 15 de junho de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: not-a-virus:AdWare.Win32.Virtumonde.by
   •  TrendMicro: TROJ_VUNDO.BC
   •  Bitdefender: Trojan.Virtumod.T


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro
   • Descarrega um ficheiro malicioso
   • Possibilita acesso não autorizado ao computador

 Ficheiros Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

%SYSDIR%\%sete caracteres aleatórios%.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: ADSPY/Virtumonde.B

%TEMPDIR%\removalfile.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.

 Registry (Registo do Windows) São adicionadas as seguintes chaves ao registo:

– [HKCR\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}\InprocServer32]
   • @="%SYSDIR%\%sete caracteres aleatórios%.dll"
   • "ThreadingModel"="Both"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   vtutrrq]
   • "Asynchronous"=dword:00000001
   • "DllName"="%sete caracteres aleatórios%"
   • "Impersonate"=dword:00000000
   • "Logon"="Logon"
   • "Logoff"="Logoff"

 Backdoor Contacta o servidor:
Seguintes:
   • http://82.98.235.63/cgi-bin/check/**********
   • http://85.12.25.**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.

Envia informação sobre:
    • Situação actual de malware


Capacidades de controlo remoto:
    • Download de ficheiros

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %SYSDIR%\%sete caracteres aleatórios%.dll

    Todos os processos que se seguem:
   • explorer.exe
   • WINLOGON.EXE


 Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.


Oculta o seguinte:
– Os seus próprios ficheiros

Descrição enviada por Marius T. Nicolae em quarta-feira, 6 de setembro de 2006
Descrição atualizada por Andrei Ivanes em terça-feira, 5 de dezembro de 2006

Voltar . . . .