VírusTR/Drop.Agent.xgt
Data em que surgiu:29/10/2008
Tipo:Trojan
Subtipo:Dropper
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:43.520 Bytes
MD5 checksum:89fafe16e1b02883ea9f070079f205de
Versão VDF:7.00.06.216
Versão IVDF:7.00.06.219 - sábado, 27 de setembro de 2008

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-Dropper.Win32.Agent.xgt
   •  F-Secure: Trojan-Dropper.Win32.Agent.xgt
   •  Panda: Trj/Downloader.MDW
   •  Eset: Win32/TrojanDownloader.Small.OCS
   •  Bitdefender: Trojan.Agent.AKHF


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

%SYSDIR%\winhoo32.dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Hijacker.Gen

%directório de execução do malware%\%ficheiro executado%.bat



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe
Executa o ficheiro com um dos seguintes parâmetros: /c start iexplore -embedding


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\winver.exe

 Registry (Registo do Windows) São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Microsoft\MSSMGR\] (Hidden)
– [HKLM\SOFTWARE\Microsoft\MSSMGR]
   • Data=dword:066a5927
   • LSTV=hex:d8,07,0b,00,01,00,18,00,0a,00,02,00,1e,00,7c,00
   • Brnd=dword:00000bba
   • MSLIST=hex:83,98,99,9e,d5,df,de,9d,91,91,87,97,82,9e,8a,9f,93,99,8f,d0,91,65,75,2d,6a,69,62,29,64,65,6d,24,7b,64,7d,0e,3f,10,21,12,23,14,7d,62,63,68,23,35,34,6c,72,6c,71,46,40,56,0d,4a,40,52,08,41,44,4d,04,4f,40,4a,01,40,59,42,33,04,35,06,37,08,39,52,4f,48,4d,04,10,6f,28,35,22,2a,31,35,22,29,3b,29,23,62,23,2b,3b,7f,38,3f,34,7b,36,3b,33,76,29,32,2b,5c,6d,5e,6f,60,51,62
   • PID=dword:00000003
   • Rid=dword:00000266

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   win%três caracteres aleatórios%32]
   • Asynchronous=dword:00000001
   • DllName="winhoo32.dll"
   • Impersonate=dword:00000000
   • Startup="busStartup"
   • Shutdown="busShutdown"

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Monica Ghitun em segunda-feira, 24 de novembro de 2008
Descrição atualizada por Monica Ghitun em segunda-feira, 24 de novembro de 2008

Voltar . . . .