VírusTR/Agent.31232
Data em que surgiu:08/01/2008
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Baixo
Ficheiro estático:Sim
Tamanho:31.232 Bytes
MD5 checksum:ab0dc0fa9f939f8894a4bde2d4009029
Versão IVDF:7.00.01.204 - terça-feira, 8 de janeiro de 2008

 Vulgarmente Alias:
   •  Panda: W32/Agent.MPQ
   •  Eset: Win32/TrojanDownloader.FakeAlert.VY
   •  Bitdefender: Trojan.Generic.1318096


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\frmwrk32.exe



Apaga a cópia executada inicialmente.



É criado o seguinte ficheiro:

%SYSDIR%\uniq.tll



Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://lsp-test-nax.ind.in/**********
Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://lsp-test-nax.ind.in/**********
Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://pmsoftware.biz/cgi-bin/**********?code=0000015
Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://lsp-test-nax.ind.in/**********?code=0000015
Ainda em fase de pesquisa.

– A partir das seguintes localizações:
   • http://searchinv**********/?dn=lsp-test-nax.ind.in&flrdr=yes&nxte=gif
   • http://searchrein**********/?dn=lsp-test-nax.ind.in&flrdr=yes&nxte=gif
Ainda em fase de pesquisa.

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Framework Windows"="frmwrk32.exe"



São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
   ActiveDesktop]
   • "NoChangingWallpaper"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableTaskMgr"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
   • "NoActiveDesktopChanges"=dword:0x00000001
   • "NoSetActiveDesktop"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   • "NoChangingWallpaper"=dword:0x00000001



Altera as seguintes chaves de registo do Windows:

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components]
   Valor recente:
   • "GeneralFlags"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor recente:
   • "NoActiveDesktopChanges"=dword:0x00000001
   • "NoSetActiveDesktop"=dword:0x00000001

 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa num processo.

    Nome do processo:
   • explorer.exe


 Informações diversas Texto:
Além disso contém os seguintes blocos de texto:
   • Warning! Security report
   • Your computer is infected! It is recommended to start spyware cleaner tool.

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quinta-feira, 25 de fevereiro de 2010
Descrição atualizada por Petre Galan em sexta-feira, 26 de fevereiro de 2010

Voltar . . . .