VírusTR/Dldr.FraudLo.sxm
Data em que surgiu:13/07/2009
Tipo:Security Privacy Risk
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Baixo
Ficheiro estático:Não
Versão VDF:7.01.04.223

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.FraudLoad.wner
   •  F-Secure: Trojan-Downloader.Win32.FraudLoad.wner
   •  Eset: Win32/Kryptik.AAL


Sistema Operativo:
   • Windows XP


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows


Logo a seguir a ser visualizada a seguinte informação:




 Ficheiros Autocopia-se para a seguinte localização:
   • %program files%\HomeAntivirus2010\Uninstall.exe



São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcm80.dll
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcp80.dll
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcr80.dll
   • %program files%\HomeAntivirus2010\data\daily.cvd
   • %program files%\HomeAntivirus2010\pthreadVC2.dll
   • %program files%\HomeAntivirus2010\htmlayout.dll
   • %directório seleccionado aleatoriamente%\%palavras aleatórias%

– Ficheiros temporários que poderam ser apagados mais tarde:
   • %tempdir%\prm%número%
   • %tempdir%\wr%número%
   • %tempdir%\clamav-%32 random hexa numbers%\daily.db
   • %tempdir%\clamav-%32 random hexa numbers%\daily.hdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.hdu
   • %tempdir%\clamav-%32 random hexa numbers%\daily.mdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.ndb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.wdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.pdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.cfg
   • %tempdir%\clamav-%32 random hexa numbers%\daily.fp
   • %tempdir%\clamav-%32 random hexa numbers%\daily.zmd
   • %tempdir%\clamav-%32 random hexa numbers%\daily.mdu
   • %tempdir%\clamav-%32 random hexa numbers%\daily.ndu
   • %tempdir%\clamav-%32 random hexa numbers%\daily.info

– %program files%\HomeAntivirus2010\HomeAntivirus2010.exe Além disso executa-se depois de gerado. Detectado como: TR/Dldr.FraudLo.sxm

– %program files%\HomeAntivirus2010\AVEngn.dll Detectado como: TR/Dldr.FraudLo.sxm

– %program files%\HomeAntivirus2010\wscui.cpl Detectado como: TR/Dldr.FraudLo.sxm

– %systemdir%\_scui.cpl Detectado como: TR/Dldr.FraudLo.sxm




Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://user:@bugermanosatora.com/files/ha21/Binaries1.cab
Encontra-se no disco rígido: %temporary internet files%

– A partir da seguinte localização:
   • http://user:************@bugermanosatora.com/files/BinariesAVE.cab
Encontra-se no disco rígido: %temporary internet files%

– A partir da seguinte localização:
   • http://user:************@bugermanosatora.com/files/BinariesAdd.cab
Encontra-se no disco rígido: %temporary internet files%

– A partir da seguinte localização:
   • http://user:************@bugermanosatora.com/files/ha21/BinariesGUI.cab
Encontra-se no disco rígido: %temporary internet files%

– A partir da seguinte localização:
   • http://user:************@bugermanosatora.com/files/BinariesSC.cab
Encontra-se no disco rígido: %temporary internet files%

– A partir da seguinte localização:
   • http://user:************@bugermanosatora.com/files/BinariesUpd.cab
Encontra-se no disco rígido: %temporary internet files%

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Home Antivirus 2010"="\"%PROGRAM FILES%\HomeAntivirus2010\HomeAntivirus2010.exe\" /hide"



São adicionadas as seguintes chaves ao registo:

– [HKCU\Control Panel\don't load]
   • "scui.cpl"="No"
   • "wscui.cpl"="No"

– [HKLM\SOFTWARE\HomeAntivirus2010]
   • "info"="% data actual%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   HomeAntivirus2010]
   • "DisplayName"="Home Antivirus 2010"
   • "UninstallString"="%PROGRAM FILES%\HomeAntivirus2010\Uninstall.exe"

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valor anterior:
   • "FirewallDisableNotify"=dword:00000000
   Valor recente:
   • "FirewallDisableNotify"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valor anterior:
   • "UpdatesDisableNotify"=dword:00000000
   Valor recente:
   • "UpdatesDisableNotify"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valor anterior:
   • "AntiVirusDisableNotify"=dword:00000000
   Valor recente:
   • "AntiVirusDisableNotify"=dword:00000001

Descrição enviada por Mihai Dilimot em segunda-feira, 10 de agosto de 2009
Descrição atualizada por Mihai Dilimot em terça-feira, 11 de agosto de 2009

Voltar . . . .