Full description

Vírus	TR/Dldr.FraudLoad.51200
Data em que surgiu:	16/09/2009
Tipo:	Trojan
Subtipo:	Downloader
Incluído na lista "In The Wild"	Sim
Nível de danos:	De médio a elevado
Nível de distribuição:	Médio
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	51.200 Bytes
MD5 checksum:	2277c47fd42f0D448dab0C97493e6acc
Versão VDF:	7.01.05.247
Versão IVDF:	7.01.05.249 - quarta-feira, 16 de setembro de 2009

Vulgarmente Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows

   Elevates itself with SeShutdownPrivilege in order to restart the system.

Ficheiros Apaga a cópia executada inicialmente.

São criados os seguintes ficheiros:

– %SYSDIR%\braviax.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Renos.56

– %SYSDIR%\dllcache\figaro.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Rootkit.Gen

– %SYSDIR%\dllcache\beep.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Rootkit.Gen

– %SYSDIR%\drivers\beep.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Rootkit.Gen

Tenta efectuar o download do ficheiro:

– A partir das seguintes localizações:
   • http://gumertagionader.com/nLp1wa/0t5CVd8hD0u/**********
   • http://celiminerkariota.com/R1J0x5lf8gpn**********
   • http://uplaserdunavats.com/IgJ1JR0JU5a**********
   • http://opolertionfer.com/G1Ce0YTH5**********
   • http://nuherfodaverta.com/Ral1h0T5**********
   • http://polanermogalios.com/Iq1o0p5**********
   • http://vuilertumegated.com/gPq1oKN0**********
   • http://buteratorionasd.com/AYQ1c0sF5n**********
   • http://nulerotkabelast.com/wBd1Tm0L5k**********
Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.FraudLoad.fnm

Registry (Registo do Windows) Para cada chave de registo é adicionado um dos seguintes valores para executar os processos depois reinicializar:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "braviax"="%SYSDIR%\braviax.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "braviax"="%SYSDIR%\braviax.exe"

O valor da seguinte chave Registo é eliminado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • risky

Altera as seguintes chaves de registo do Windows:

Opções de segurança baixa no Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   Valor recente:
   • "LowRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
   • "SaveZoneInformation"=dword:00000001

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• Mystic Compressor

Descrição enviada por Petre Galan em quarta-feira, 16 de setembro de 2009
Descrição atualizada por Petre Galan em quarta-feira, 16 de setembro de 2009

Voltar . . . .