VírusTR/Kavimondas.B
Data em que surgiu:17/07/2008
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:131.584 Bytes
MD5 checksum:d83e2e55493705abfb19515048f67452
Versão IVDF:7.00.04.210 - terça-feira, 17 de junho de 2008

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: Infostealer.Gampass
   •  Mcafee: PWS-Gamania.gen.a trojan
   •  TrendMicro: Mal_Onlineg
   •  Sophos: Mal/EncPk-CE
   •  Panda: Trj/Lineage.IWU
   •  VirusBuster: Trojan.Lineage.Gen!Pac.3
   •  Eset: Win32/PSW.OnLineGames.ODJ trojan
   •  Bitdefender: Packer.Malware.NSAnti


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Informação de roubos

 Ficheiros Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://www.456kill.com/**********/zz.rar
Encontra-se no disco rígido: %TEMPDIR%\zz.rar Este ficheiro pode conter localizações de descarregamento adicionais e poderá servir como fonte para novas ameaças .

– A partir da seguinte localização:
   • http://www.dfsas23.com/**********/zz.exe
Encontra-se no disco rígido: %TEMPDIR%\zz.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Crypt.CFI.Gen

 Roubos de informação Tenta roubar a seguinte informação:

– As palavras-chave dos seguintes programas:
   • cabalmain.exe
   • wow.exe
   • elementclient.exe
   • Ragexe.exe
   • RagFree.exe
   • ybclient.exe
   • wsm.exe
   • ZodiacOnline.exe
   • so3d.exe
   • maplestory.exe
   • gersang.exe
   • fairyclient.exe
   • hyo.exe

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Thomas Wegele em sexta-feira, 15 de agosto de 2008
Descrição atualizada por Philipp Wolf em sexta-feira, 15 de agosto de 2008

Voltar . . . .