VírusTR/Vilsel.ior
Data em que surgiu:20/10/2009
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:44.544 Bytes
MD5 checksum:e6bc86359946024ea7547ae8e9915e61
Versão IVDF:7.01.06.127 - terça-feira, 20 de outubro de 2009

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Packed.Win32.Krap.ah
   •  F-Secure: Trojan-Downloader:W32/Fakerean.AG
   •  Eset: Win32/Kryptik.AVJ
   •  Bitdefender: Trojan.FakeAV.VC


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Baixa as definições de segurança
   • Altera o registo do Windows
Falsley reports malware infection or system proble (pt)


Depois de executado é visualizada a seguinte informação:


 Ficheiros Autocopia-se para as seguintes localizações
   • %home%\Application Data\seres.exe
   • %home%\Application Data\svcst.exe




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://ertanue5skayert.com/**********M
Encontra-se no disco rígido: %home%\Application Data\lizkavd.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.FraudLo.osj

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "mserv"="%home%\Application Data\seres.exe"
   • "svchost"="%home%\Application Data\svcst.exe"



Altera as seguintes chaves de registo do Windows:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   Valor recente:
   • "LowRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
   • "SaveZoneInformation"=dword:00000001

Opções de segurança baixa no Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Download]
   Valor anterior:
   • "CheckExeSignatures"="yes"
   • "RunInvalidSignatures"=dword:00000000
   Valor recente:
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

 E-mail Não tem rotinas próprias de propagação mas é enviado por email. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Assunto:
O seguinte:
   • Conflicker.B Infection Alert



Corpo:
O corpo do email é o seguinte:

   • Dear Microsoft Customer,
     
     Starting 18/10/2009 the 'Conficker' worm began infecting Microsoft customers unusually rapidly. Microsoft has been advised by your Internet provider that your network is infected.
     
     To counteract further spread we advise removing the infection using an antispyware program. We are supplying all effected Windows Users with a free system scan in order to clean any files infected by the virus.
     
     Please install attached file to start the scan. The process takes under a minute and will prevent your files from being compromised. We appreciate your prompt cooperation.
     
     Regards,
     Microsoft Windows Agent
     2 (Hollis)
     Microsoft Windows Computer Safety Division


Atalho:
O ficheiro de atalho tem o seguinte nome:
   • install.zip

O ficheiro de atalho contém uma cópia do próprio malware.



O email pode ser parecido com o seguinte:


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Thomas Wegele em terça-feira, 20 de outubro de 2009
Descrição atualizada por Philipp Wolf em terça-feira, 20 de outubro de 2009

Voltar . . . .