VírusTR/Onlinegames.B
Data em que surgiu:19/05/2008
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Não
Tamanho:~100.000 Bytes
Versão IVDF:7.00.04.63 - terça-feira, 20 de maio de 2008

 Vulgarmente Meio de transmissão:
   • Unidade de rede


Alias:
   •  Mcafee: PWS-LegMir.gen.k
   •  Kaspersky: Trojan-PSW.Win32.OnLineGames.ngm
   •  F-Secure: Trojan-PSW.Win32.OnLineGames.ngm
   •  Grisoft: Worm/AutoRun.Y
   •  Eset: Win32/PSW.OnLineGames.NLI
   •  Bitdefender: Trojan.PWS.OnlineGames.WME

Detecção similar:
   •  TR/Onlinegames.B.%número%


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\amvo.exe



Envia uma cópia de si mesmo usando um nome seguinte lista:
– Para: %unidade%\ Usando um dos nomes seguintes:
   • %uma série de caracteres aleatórios%.exe
   • %uma série de caracteres aleatórios%.bat
   • %uma série de caracteres aleatórios%.cmd
   • %uma série de caracteres aleatórios%.com




São criados os seguintes ficheiros:

– Ficheiros temporários que poderam ser apagados mais tarde:
   • %TEMPDIR%\%uma série de caracteres aleatórios%.sys
   • %TEMPDIR%\%uma série de caracteres aleatórios%.dll

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%TEMPDIR%\%uma série de caracteres aleatórios%.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: RKIT/Vanti

%TEMPDIR%\%uma série de caracteres aleatórios%.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Crypt.NSPM.Gen

%SYSDIR%\amvo0.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Crypt.NSPM.Gen

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • amva = %SYSDIR%\amvo.exe



Altera as seguintes chaves de registo do Windows:

Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • Hidden = %definições do utilizador %
   • ShowSuperHidden = %definições do utilizador %
   Valor recente:
   • Hidden = 2
   • ShowSuperHidden = 0

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valor anterior:
   • CheckedValue = %definições do utilizador %
   Valor recente:
   • CheckedValue = 0

 Roubos de informação Tenta roubar a seguinte informação:

– As palavras-chave dos seguintes programas:
   • Maple Story
   • Lineage

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %SYSDIR%\amvo0.dll

    Nome do processo:
   • explorer.exe

   Se concluir com êxito, o processo de malware termina enquanto a parte injetada permanece ativa.

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Andrei Gherman em sexta-feira, 13 de junho de 2008
Descrição atualizada por Andrei Gherman em sexta-feira, 13 de junho de 2008

Voltar . . . .