VírusTR/Hacktool.Tcpz.A
Data em que surgiu:22/04/2009
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De médio a elevado
Ficheiro estático:Sim
Tamanho:995.328 Bytes
MD5 checksum:3911f7a8d09c467dbf3a05f73f0b8c7d
Versão IVDF:7.01.03.91 - quarta-feira, 22 de abril de 2009

 Vulgarmente Alias:
   •  Mcafee: Generic Rootkit.g trojan
   •  Sophos: W32/Ircbot-AER
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/IRCBot
   •  Bitdefender: IRC-Worm.Generic.3237


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\svhost.exe



É criado o seguinte ficheiro:

%SYSDIR%\drivers\sysdrv32.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Hacktool.Tcpz.A

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SYSTEM\CurrentControlSet\Services\MSNETDED]
   • "Description"=" intrusion detection."
   • "DisplayName"="Network Monitor service"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\svhost.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32]
   • "DisplayName"="Play Port I/O Driver"
   • "ErrorControl"=dword:0x00000001
   • "Group"="SST miniport drivers"
   • "ImagePath"="\??\%SYSDIR%\drivers\sysdrv32.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



São adicionadas as seguintes chaves ao registo:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSNETDED]
   • "@"="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED]
   • "@"="Service"

 Infecção da rede  Exploit:
Faz uso dos seguintes Exploits:
– MS03-007 (Unchecked Buffer in Windows Component)
– MS04-045 (Vulnerability in WINS)
MS06-040 (Vulnerability in Server Service)

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: 7.j3h**********.net
Porta: 57
Palavra-chave do servidor: h4xg4ng
Canal #cunt
Nickname: [00-USA-XP-%número% ]

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em segunda-feira, 30 de novembro de 2009
Descrição atualizada por Petre Galan em segunda-feira, 30 de novembro de 2009

Voltar . . . .