VírusTR/Fakealert.HC
Data em que surgiu:16/10/2008
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:44.032 Bytes
MD5 checksum:9d40e58d4b91df1fdf7afd3b05dba6d6
Versão IVDF:7.00.07.47 - quinta-feira, 16 de outubro de 2008

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Symantec: Trojan.Virantix.C
   •  Kaspersky: Backdoor.Win32.UltimateDefender.tt
   •  F-Secure: Trojan-Downloader:W32/FakeAlert.BG
   •  Sophos: Troj/FakeVir-GL
   •  Panda: Adware/XPAntiSpyware2009
   •  Grisoft: Downloader.Zlob.AEVS
   •  VirusBuster: Trojan.Renos.AUI
   •  Eset: Win32/TrojanDownloader.FakeAlert.MN trojan
   •  Bitdefender: Packer.Malware.Lighty.I


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros São criados os seguintes ficheiros:

%SYSDIR%\brastk.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.FraudLo.bai

%SYSDIR%\dllcache\figaro.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Rootkit.Gen

%SYSDIR%\dllcache\beep.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Rootkit.Gen

%SYSDIR%\drivers\beep.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Rootkit.Gen

%WINDIR%\delself.bat Este ficheiro de processamento em lote é usado para apagar um ficheiro.

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • brastk="%SYSDIR%\brastk.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • brastk="%SYSDIR%\brastk.exe"



É adicionada a seguinte chave de registo:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • PendingFileRenameOperations=%valores hex%

 E-mail Não tem rotinas próprias de propagação mas é enviado por email. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Assunto:
O seguinte:
   • New anjelina jolie sex scandal



Corpo:
O corpo do email é o seguinte:
   • anjelina jolie porn video, file attached, watch it


Atalho:
O ficheiro de atalho tem o seguinte nome:
   • angelina_video.zip

O ficheiro de atalho contém uma cópia do próprio malware.

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Thomas Wegele em quarta-feira, 22 de outubro de 2008
Descrição atualizada por Thomas Wegele em quarta-feira, 22 de outubro de 2008

Voltar . . . .