VírusTR/Vilsel.iop
Data em que surgiu:15/10/2009
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:21.504 Bytes
MD5 checksum:7d96ce7f588613f0343049918de70665
Versão IVDF:7.01.06.111 - quinta-feira, 15 de outubro de 2009

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Mcafee: FakeAlert-AB.dldr
   •  Kaspersky: Trojan.Win32.Vilsel.iop
   •  F-Secure: Trojan-Downloader:W32/Fakerean.Y
   •  Eset: Win32/Kryptik.AUZ
   •  Bitdefender: Trojan.Downloader.FakeAlert.DH

Detecção similar:
   •  TR/Vilsel.ioq


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Baixa as definições de segurança
   • Altera o registo do Windows
Falsley reports malware infection or system proble (pt)


Depois de executado é visualizada a seguinte informação:


 Ficheiros Autocopia-se para as seguintes localizações
   • %home%\Application Data\seres.exe
   • %home%\Application Data\svcst.exe




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://tsarbunerkadosa.com/x**********
Encontra-se no disco rígido: %home%\Application Data\lizkavd.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Crypt.XPACK.Gen

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • mserv="%home%\Application Data\seres.exe"
   • svchost="%home%\Application Data\svcst.exe"



Altera as seguintes chaves de registo do Windows:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   Valor recente:
   • "LowRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
   • "SaveZoneInformation"=dword:00000001

Opções de segurança baixa no Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Download]
   Valor anterior:
   • "CheckExeSignatures"="yes"
   • "RunInvalidSignatures"=dword:00000000
   Valor recente:
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

 E-mail Não tem rotinas próprias de propagação mas é enviado por email. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Assunto:
O seguinte:
   • A new settings file %endereço de e-mail do destinatário% has
      just been released



Corpo:
O corpo do email é o seguinte:

   • Dear user of the %domínio do destinatário% mailing service!
     
     We are informing you that because of the security upgrade of the mailing
     service your mailbox %endereço de e-mail do destinatário% settings were changed. In order to
     apply the new set of settings open zip attached file.
     
     Best regards, %domínio do destinatário% Technical Support.


Atalho:
O ficheiro de atalho tem o seguinte nome:
   • install.zip

O ficheiro de atalho contém uma cópia do próprio malware.



O email pode ser parecido com o seguinte:


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Thomas Wegele em quinta-feira, 15 de outubro de 2009
Descrição atualizada por Thomas Wegele em quinta-feira, 15 de outubro de 2009

Voltar . . . .