Full description

Vírus	TR/Vundo.NV
Data em que surgiu:	16/12/2008
Tipo:	Trojan
Incluído na lista "In The Wild"	Sim
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	De baixo a médio
Ficheiro estático:	Não
Versão IVDF:	7.01.00.238 - terça-feira, 16 de dezembro de 2008

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Grisoft: Vundo.CL

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

Ficheiros São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • %directório de execução do malware%\%uma série de caracteres aleatórios%.ini
   • %directório de execução do malware%\%uma série de caracteres aleatórios%.ini2

Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://85.17.166.232/**********/index.dll
Encontra-se no disco rígido: %TEMPDIR%\%uma série de caracteres aleatórios%.dll Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Vundo.NU

– A partir da seguinte localização:
   • http://89.188.16.46/**********/zc113432.dll
Encontra-se no disco rígido: %TEMPDIR%\%uma série de caracteres aleatórios%.dll Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Vundo.NT

Registry (Registo do Windows) Regista um Objecto de Ajuda do Browser (BHO) adicionando a seguinte chave ao registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{2CA510D8-90CD-4120-AB99-F3B9A5E4F43D}]

São adicionadas as seguintes chaves ao registo:

– [HKCR\CLSID\{2CA510D8-90CD-4120-AB99-F3B9A5E4F43D}\InprocServer32]
   • @="%directório de execução do malware%\\%dll de malware"
   • "ThreadingModel"="Both"

– [HKLM\SOFTWARE\Microsoft\%número hexadecimal%]
   • "Version"="%recursos Internet utilizados pelo malware%"

Introdução de código viral noutros processos – Introduz-se a si próprio num processo.

Nome do processo:
• explorer.exe

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Andreas Feuerstein em terça-feira, 16 de dezembro de 2008
Descrição atualizada por Andreas Feuerstein em terça-feira, 16 de dezembro de 2008

Voltar . . . .