VírusTR/Small.DBY.AF.3
Data em que surgiu:14/02/2007
Tipo:Trojan
Subtipo:SPY
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Baixo
Ficheiro estático:Sim
Tamanho:37.747 Bytes
MD5 checksum:8617ab4e033c0853cf1766de30cf6589
Versão VDF:6.37.01.91
Versão IVDF:6.37.01.92 - quarta-feira, 14 de fevereiro de 2007

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Email-Worm.Win32.Zhelatin.ab
   •  Eset: Win32/Nuwar.gen worm
   •  Bitdefender: Trojan.Peed.ET


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros

 Ficheiros São criados os seguintes ficheiros:

– Ficheiro não malicioso:
   • %SYSDIR%\wincom32.ini

%SYSDIR%\wincom32.sys Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Small.DBY.M.1

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– HKLM\System\CurrentControlSet\Services\wincom32\ImagePath
   • "\??\%SYSDIR%\wincom32.sys"

 Infecção da rede  Criação de endereços IP:
Cria endereços IP aleatórios e tenta estabelecer uma ligação com eles.

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: wincom32.sys

    Nome do processo:
   • %SYSDIR%\services.exe


 Tecnologia de Rootkit Oculta o seguinte:
– Os seus próprios ficheiros
– A sua própria chave de registo


Forma utilizada
    • Esconde-se na API do Windows

Bloqueia as seguintes funções API:
   • ZwQueryDirectoryFile
   • ZwEnumerateKey
   • ZwEnumerateValueKey

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • PEPACK

Descrição enviada por Viktor Graeber em quarta-feira, 25 de abril de 2007
Descrição atualizada por Viktor Graeber em sexta-feira, 27 de abril de 2007

Voltar . . . .