VírusTR/Drop.Decay.atv
Data em que surgiu:23/10/2009
Tipo:Trojan
Subtipo:Dropper
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:70.656 Bytes
MD5 checksum:3bd03a49f0a4ffd9220e1e1b2890663a
Versão IVDF:7.01.06.142 - sexta-feira, 23 de outubro de 2009

 Vulgarmente Meio de transmissão:
• Autorun feature (pt)


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\conmsyrtl.exe
   • %unidade%\driver\usb\usb3.EXE



São criados os seguintes ficheiros:

%unidade%\driver\usb\Desktop.ini
%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

 Registry (Registo do Windows) Para cada chave de registo é adicionado um dos seguintes valores para executar os processos depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Sistema de Comm"="conmsyrtl.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Sistema de Comm"="conmsyrtl.exe"



O seguinte valor do registo é alterado:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Valor recente:
   • "%directório de execução do malware%\%ficheiro executado%"="%directório de execução do malware%\%ficheiro executado%:*:Enabled:Sistema de Comm"

 P2P    Procura directórios com os seguintes textos:
   • winmx\shared\
   • tesla\files\
   • limewire\shared\
   • morpheus\my shared folder\
   • emule\incoming\
   • edonkey2000\incoming\
   • bearshare\shared\
   • grokster\my grokster\
   • icq\shared folder\
   • kazaa lite k++\my shared folder\
   • kazaa lite\my shared folder\
   • kazaa\my shared folder\

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • headjobs.scr; ilovetofuck.scr; FREEPORN.exe,fuckshitcunt.scr;
      Autoloader.exe; Wireshark.exe; DDOSPING.exe; ScreenMelter.exe;
      How-to-make-money.exe; Ebooks.exe; WildHorneyTeens.scr;
      RapidsharePREMIUM.exe; LimeWireCrack.exe; Porno.MPEG.exe; image.scr;
      VistaUltimate-Crack.exe; paris-hilton.scr; MSNHacks.exe;
      YahooCracker.exe; HotmailHacker.exe

   Os ficheiros são cópias do próprio malware.

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– AIM Messenger
– MSN Messenger

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: ns3.metr**********.com
Porta: 6567
Palavra-chave do servidor: pr1v4d0onl1n3r
Canal #delawich#
Nickname: [SH|USA|00|P|%número% ]
Palavra-chave c1rc0s0leil


– Para além disso tem a capacidade de executar as seguintes acções:
    • Lança DDoS SYN floods
    • Download de ficheiros
    • Actualiza-se a ele próprio
    • Visita um Web site

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quarta-feira, 3 de fevereiro de 2010
Descrição atualizada por Petre Galan em sexta-feira, 5 de fevereiro de 2010

Voltar . . . .