VírusBDS/VB.awr.35
Data em que surgiu:19/03/2007
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:420.299 Bytes
MD5 checksum:ecf789e622ab53b9761595f51e63423a
Versão VDF:6.38.00.74
Versão IVDF:6.38.00.76 - segunda-feira, 19 de março de 2007

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Backdoor.Win32.VB.awr
   •  F-Secure: Backdoor.Win32.VB.awr


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Bloqueia o acesso a Web sites de segurança
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\scvhost.exe



São criados os seguintes ficheiros:

– Ficheiro não malicioso:
   • %WINDIR%\MSWINSCK.OCX

%SYSDIR%\offlog.txt O ficheiro contém informação das teclas pressionadas.

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RUNSERVICES]
   • "Windows Update"="%WINDIR%\scvhost.exe"
   • "msconfig"="%WINDIR%\scvhost.exe"
   • "icq lite"="%WINDIR%\scvhost.exe"
   • "Update Checker"="%WINDIR%\scvhost.exe"
   • "AntiVir"="%WINDIR%\scvhost.exe"
   • @="%WINDIR%\scvhost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Update"="%WINDIR%\scvhost.exe"
   • "msconfig"="%WINDIR%\scvhost.exe"
   • "icq lite"="%WINDIR%\scvhost.exe"
   • "Update Checker"="%WINDIR%\scvhost.exe"
   • "AntiVir"="%WINDIR%\scvhost.exe"
   • @="%WINDIR%\scvhost.exe"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%WINDIR%\scvhost.exe"

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso valores existentes serão alterados.

– O acesso aos seguintes domínios é bloqueado:
   • dl1.avgate.net
   • dl2.avgate.net
   • dl3.avgate.net
   • dl4.avgate.net
   • dl5.avgate.net
   • dl6.avgate.net
   • dl7.avgate.net
   • dl8.avgate.net
   • dl9.avgate.net


 Backdoor Contacta o servidor:
Seguinte:
   • arcrol3**********:1338

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.

Descrição enviada por Gabriel Mustata em sexta-feira, 16 de março de 2007
Descrição atualizada por Andrei Gherman em segunda-feira, 26 de março de 2007

Voltar . . . .