Full description

Vírus	TR/Spy.Goldun.axt
Data em que surgiu:	12/09/2008
Tipo:	Trojan
Incluído na lista "In The Wild"	Sim
Nível de danos:	De baixo a médio
Nível de distribuição:	Médio
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	34.931 Bytes
MD5 checksum:	6ba40E29db8fb6f9145fde7a45708875
Versão IVDF:	7.00.06.149 - sexta-feira, 12 de setembro de 2008

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Mcafee: Spy-Agent.bg trojan
   • Kaspersky: Trojan-Spy.W32.Goldun.axt
   • F-Secure: Trojan-Spy:W32/Goldun.RR
   • Sophos: Troj/Meredrop-A

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Informação de roubos

Ficheiros São criados os seguintes ficheiros:

– Ficheiro não malicioso:
• %SYSDIR%\k86.bin

– %SYSDIR%\cabpck.dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Spy.Goldun.axn

– %SYSDIR%\krnlcab.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Rootkit.Gen

Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
• http://social-bos.biz/**********/data.php**********

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   krnlcab.sys]
   • @="Driver"

Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   cabpck]
   • DllName=hex(2):%valores hex% (cabpck.dll)
   • Startup="cabpck"
   • mpersonate=dword:00000001
   • Asynchronous=dword:00000001
   • MaxWait=dword:00000001
   • a950="[FA5BF78BD77A4464E]"

São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– [HKLM\SYSTEM\CurrentControlSet\Services\krnlcab]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%valores hex% (system32\krnlcab.sys)
   • "DisplayName"="Cabinet Kernel Packer"

– [HKLM\SYSTEM\CurrentControlSet\Services\krnlcab\Security]
   • "Security"=hex:%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\krnlcab\Enum]
   • "0"="Root\\LEGACY_KRNLCAB\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%ficheiro executado% "="%ficheiro executado%
      :*:Enabled:rundll32"

São adicionadas as seguintes chaves ao registo:

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB\0000]
   • "Service"="krnlcab"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Cabinet Kernel Packer"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="krnlcab"

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• UPX

Descrição enviada por Alexander Neth em sexta-feira, 12 de setembro de 2008
Descrição atualizada por Alexander Neth em sexta-feira, 12 de setembro de 2008

Voltar . . . .