VírusTR/Dldr.Agent.gcx
Data em que surgiu:24/10/2008
Tipo:Trojan
Subtipo:Downloader
Incluído na lista "In The Wild"Sim
Nível de danos:Médio
Nível de distribuição:Alto
Nível de risco:Alto
Ficheiro estático:Não
Tamanho:~ 360.000 Bytes
Versão IVDF:7.00.07.81 - sexta-feira, 24 de outubro de 2008

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Mcafee: Spy-Agent.da trojan
   •  Kaspersky: Trojan-Downloader.Win32.Agent.alce
   •  F-Secure: Trojan-Downloader.Win32.Agent.alce
   •  Sophos: Troj/Gimmiv-A
   •  Bitdefender: Win32.Worm.Gimmiv.A


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Descarrega um ficheiro malicioso
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros São criados os seguintes ficheiros:

%SYSDIR%\wbem\sysmgr.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Agent.gcx

%TEMPDIR%\%oito caracteres aleatórios%.bat Este ficheiro de processamento em lote é usado para apagar um ficheiro.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SYSTEM\ControlSet001\Services\sysmgr\Parameters]
   • "ServiceDll"=%SYSDIR%\%dll de malware%
   • "ServiceMain"="ServiceMainFunc"



É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   • "sysmgr"=%valores hex%

 Backdoor Contacta o servidor:
Um dos seguintes:
   • 212.227.93.146
   • 64.233.189.147
   • 202.108.22.44

Como resultado pode enviar alguma informação. Também, repete a ligação periodicamente. Isto é feito usando o método HTTP GET através de scripts PHP.


Envia informação sobre:
    • Lista de "Adicionar Remover Programas"
    • Nome do computador
    • Informações sobre a rede
    • Informação recolhida na secção de roubos.
    • Nome de utilizador
    • Informação sobre o sistema operativo Windows

 Roubos de informação Tenta roubar a seguinte informação:

– As palavras-chave dos seguintes programas:
   • Outlook Express
   • MSN Messenger
   • Protected Storage

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.

Descrição enviada por Thomas Wegele em sexta-feira, 24 de outubro de 2008
Descrição atualizada por Alexander Vukcevic em sexta-feira, 24 de outubro de 2008

Voltar . . . .