VírusTR/Spy.BZub.GM
Data em que surgiu:01/02/2007
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:92.888 Bytes
MD5 checksum:9344dfb9f65beef177b148ce0f5ad071
Versão VDF:6.37.01.10 - quinta-feira, 1 de fevereiro de 2007
Versão IVDF:6.37.01.10 - quinta-feira, 1 de fevereiro de 2007

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-Spy.Win32.BZub.hv
   •  F-Secure: Trojan-Spy.Win32.BZub.hv
   •  Sophos: Troj/Dloadr-ASR


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Baixa as definições de segurança
   • Guarda as teclas digitadas
   • Informação de roubos

 Ficheiros  Elimina os seguintes ficheiros:
   • %PROGRAM FILES%\Mozilla Firefox\xpcom.dll
   • %PROGRAM FILES%\Mozilla Firefox\softokn3.dll
   • %PROGRAM FILES%\Mozilla Firefox\nss3.dll
   • %PROGRAM FILES%\Mozilla Firefox\js3250.dll
   • %PROGRAM FILES%\Opera\opera.dll
   • %PROGRAM FILES%\Opera\spellcheck.dll



São criados os seguintes ficheiros:

– Ficheiros temporários que poderam ser apagados mais tarde:
   • %SYSDIR%\info.txt
   • c:\1.txt

%SYSDIR%\ipv6monl.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Spy.BZub.HV

– c:\1.bat

 Registry (Registo do Windows) Os valores da seguinte chave Registo são eliminados:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load]
   • h
   • wspopp
   • forwas
   • nw
   • worg
   • cryptpa
   • tas
   • tannumr
   • tantotl
   • taloinata
   • pops
   • ip
   • scrensos
   • faddress
   • fter
   • ftass
   • uincl
   • pstincl
   • ptexcl



Regista um Objecto de Ajuda do Browser(BHO) adicionando as seguintes chaves ao registo do Windows :

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Enable Browser Extensions"="yes"

– [HKCR\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}\InprocServer32]
   • "ThreadingModel"="apartment"
   • "(Default)"="%SYSDIR%\ipv6monl.dll"

– [HKCR\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
– [HKCR\AppID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   browser helper objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]


Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE"="%PROGRAM
      FILES%\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer"



São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load]
   • "cmpid"=%valores hex%
   • "worg"=%valores hex%
   • "net_insll"=%data actual%
   • "info_sze"=%valores hex%
   • "ino"=%valores hex%
   • "timeu"=%data futura%
   • "h"=%data futura%

 Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave digitadas em 'campos de entrada de palavras-chave'
– Palavras-chave guardadas e que são usadas pela função AutoComplete
– Informações da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– É iniciada uma rotina de logging depois de visitar um dos seguintes Web sites:
   • https://banking.*.de/
   • e-gold.com
   • banking.postbank.de
   • https://*.netbank.commbank.com.au/netbank/bankmain
   • signin.ebay.com
   • https://sitekey.bankofamerica.com/
   • https://my.if.com/
   • https://olb2.nationet.com
   • https://ibank.barclays.co.uk/

– Captura:
    • Teclar
    • Janela de informação
    • Informação de login

Descrição enviada por Cristian Dobre em sexta-feira, 2 de fevereiro de 2007
Descrição atualizada por Andrei Ivanes em quarta-feira, 28 de fevereiro de 2007

Voltar . . . .