Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/Hacktool.Tcpz.A
Data em que surgiu:22/04/2009
Tipo:Trojan
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:De baixo a mdio
Nvel de risco:De mdio a elevado
Ficheiro esttico:Sim
Tamanho:995.328 Bytes
MD5 checksum:3911f7a8d09c467dbf3a05f73f0b8c7d
Verso IVDF:7.01.03.91 - quarta-feira, 22 de abril de 2009

 Vulgarmente Alias:
   •  Mcafee: Generic Rootkit.g trojan
   •  Sophos: W32/Ircbot-AER
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/IRCBot
   •  Bitdefender: IRC-Worm.Generic.3237


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\svhost.exe



criado o seguinte ficheiro:

%SYSDIR%\drivers\sysdrv32.sys Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: TR/Hacktool.Tcpz.A

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKLM\SYSTEM\CurrentControlSet\Services\MSNETDED]
   • "Description"=" intrusion detection."
   • "DisplayName"="Network Monitor service"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\svhost.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Adiciona a seguinte chave ao registo do Windows para executar o servio ao iniciar o sistema:

[HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32]
   • "DisplayName"="Play Port I/O Driver"
   • "ErrorControl"=dword:0x00000001
   • "Group"="SST miniport drivers"
   • "ImagePath"="\??\%SYSDIR%\drivers\sysdrv32.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



So adicionadas as seguintes chaves ao registo:

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSNETDED]
   • "@"="Service"

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED]
   • "@"="Service"

 Infeco da rede  Exploit:
Faz uso dos seguintes Exploits:
– MS03-007 (Unchecked Buffer in Windows Component)
 MS04-045 (Vulnerability in WINS)
MS06-040 (Vulnerability in Server Service)

 IRC Para enviar informaes do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: 7.j3h**********.net
Porta: 57
Palavra-chave do servidor: h4xg4ng
Canal #cunt
Nickname: [00-USA-XP-%nmero% ]

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em segunda-feira, 30 de novembro de 2009
Descrição atualizada por Petre Galan em segunda-feira, 30 de novembro de 2009

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.