VírusBDS/Agent.zwa
Data em que surgiu:18/03/2009
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:48.128 Bytes
MD5 checksum:c07f0c718782f826bdfb0390e76279f1
Versão IVDF:7.01.02.184 - quarta-feira, 18 de março de 2009

 Vulgarmente Alias:
   •  Mcafee: W32/Spybot.worm.gen virus
   •  Sophos: Mal/WaledPak-A
   •  Panda: W32/Iksmas.F.worm
   •  Eset: Win32/IRCBot
   •  Bitdefender: Trojan.Waledac.DB


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\1042m.exe




Tenta efectuar o download de alguns ficheiros:

– A partir das seguintes localizações:
   • http://ShopFilmWorld.cn/v3/**********
   • http://ShopVideoFest.cn/v3/**********
   • http://MartPictureExistence.cn/v3/**********
   • http://ShopVideoSchools.cn/v3/**********
   • http://ShopPictureLife.cn/v3/**********
   • http://ShopPigLiving.cn/v3/**********
Outras investigações apontam para que este ficheiro, também, seja malware.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SYSTEM\CurrentControlSet\Services\W32TimeDot3svc]
   • "DisplayName"="Windows Time W32TimeDot3svc"
   • "ErrorControl"=dword:0x00000000
   • "ImagePath"="%SYSDIR%\1042m.exe srv"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em segunda-feira, 16 de novembro de 2009
Descrição atualizada por Petre Galan em segunda-feira, 16 de novembro de 2009

Voltar . . . .