Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/Scar.apqx
Data em que surgiu:20/11/2009
Tipo:Trojan
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:Baixo
Nvel de risco:De baixo a mdio
Ficheiro esttico:Sim
Tamanho:43.008 Bytes
MD5 checksum:5cdef39df4850fe9d241490fe4305df2
Verso IVDF:7.10.01.43 - sexta-feira, 20 de novembro de 2009

 Vulgarmente Alias:
   •  Mcafee: W32/Koobface.worm.gen.d
   •  Sophos: W32/Koobface-V
   •  Panda: W32/Koobface.JT.worm
   •  Eset: Win32/Koobface.NCK
   •  Bitdefender: Win32.Worm.Koobface.AMW


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localizao:
   • %unidade%\windows\ld15.exe



Apaga a cpia executada inicialmente.



Elimina os seguintes ficheiros:
   • %TEMPDIR%\zpskon_1270677929.exe
   • %unidade%\3.reg
   • %directrio de execuo do malware%\df1a245s4_1592.exe
   • %directrio de execuo do malware%\SelfDel.bat
   • %directrio de execuo do malware%\sd.dat
   • %WINDIR%\dxxdv34567.bat
   • %unidade%\h.tmp
   • %TEMPDIR%\captcha.bat
   • %unidade%\1.bat
   • %TEMPDIR%\zpskon_1270669724.exe
   • %HOME%\Local Settings\Application Data\rdr_1270658517.exe



So criados os seguintes ficheiros:

%unidade%\3.reg um ficheiro de texto no malicioso com o seguinte contedo:
   •

%directrio de execuo do malware%\df1a245s4_1592.exe Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: TR/Dropper.Gen

%HOME%\Local Settings\Application Data\010112010146100109.xxe
%TEMPDIR%\zpskon_1270682172.exe Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: BDS/Backdoor.Gen

%HOME%\Local Settings\Application Data\010112010146115119.xxe
%HOME%\Local Settings\Application Data\rdr_1270658517.exe Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: TR/Dropper.Gen

%unidade%\windows\bill106.exe Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: TR/Dropper.Gen

%directrio de execuo do malware%\SelfDel.bat Alm disso executa-se depois de gerado. Este ficheiro de processamento em lote usado para apagar um ficheiro.
%SYSDIR%\drivers\etc\hosts
%TEMPDIR%\zpskon_1270677929.exe Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: TR/Dropper.Gen

%WINDIR%\fdgg34353edfgdfdf
%unidade%\windows\bk23567.dat
%HOME%\Local Settings\Application Data\0101120101465198.xxe
%unidade%\h.tmp
%WINDIR%\dxxdv34567.bat Alm disso executa-se depois de gerado. Este ficheiro de processamento em lote usado para apagar um ficheiro.
%PROGRAM FILES%\webserver\webserver.exe Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: BDS/Backdoor.Gen

%directrio de execuo do malware%\sd.dat
%TEMPDIR%\captcha.bat Alm disso executa-se depois de gerado. Este ficheiro de processamento em lote usado para apagar um ficheiro.
%SYSDIR%\captcha.dll
%TEMPDIR%\zpskon_1270669724.exe Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: TR/ATRAPS.Gen

%unidade%\1.bat Alm disso executa-se depois de gerado. Este ficheiro de processamento em lote usado para apagar um ficheiro.



Tenta efectuar o download de alguns ficheiros:

A partir das seguintes localizaes:
   • http://banmismokingban.com/**********/?action=&v=%nmero%
   • http://uuviet.toila.net/**********/?action=&v=%nmero%
   • http://prospect-m.ru/**********/?action=&v=%nmero%
   • http://glyk.ch/**********/?action=&v=%nmero%
   • http://sindhpk.com/**********/?action=&v=%nmero%
   • http://www.smoketrend.de/**********/?action=&v=%nmero%
   • http://rabadanmakeupartist.com/**********/?action=&v=%nmero%
   • http://www.friesen-research.com/**********/?action=&v=%nmero%
   • http://azfatso.org/**********/?action=&v=%nmero%
   • http://lineaidea.it/**********/?action=&v=%nmero%
   • http://mysex.co.il/**********/?action=&v=%nmero%
   • http://daveshieldsmedia.com/**********/?action=&v=%nmero%
   • http://kingdom-shakers.com/**********/?action=&v=%nmero%
   • http://www.eurostandart.biz/**********/?action=&v=%nmero%
   • http://drpaulaprice.com/**********/?action=&v=%nmero%
   • http://eurorot.com/**********/?action=&v=%nmero%
   • http://rowanhenderson.com/**********/?action=&v=%nmero%
   • http://sigmai.co.il/**********/?action=&v=%nmero%
   • http://anlaegkp.dk/**********/?action=&v=%nmero%
   • http://inartdesigns.com/**********/?action=&v=%nmero%
   • http://inartdesigns.com/**********/?action=&ff=%nmero% &a=%nmero% &v=%nmero% &l=%nmero% &c_fb=%nmero% &c_ms=%nmero% &c_hi=%nmero% &c_tw=%nmero% &c_be=%nmero% &c_tg=%nmero% &c_nl=%nmero% &iedef=%nmero%
   • http://mdcoc.net/**********/?getexe=
   • http://www.idif.it/**********/?action=&v=%nmero% &crc=%nmero%
   • http://www.idif.it/**********/?action=&a=%nmero% &v=%nmero% &c_fb=%nmero% &ie=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://amazingpets.org/**********/?action=&v=%nmero% &crc=%nmero%
   • http://amazingpets.org/**********/?action=&mode=&age=%nmero% &a=%nmero% &v=%nmero% &c_fb=%nmero% &ie=


A partir da seguinte localizao:
   • http://insta-find.com/adm/**********


A partir da seguinte localizao:
   • http://u07012010u.com/**********/?uptime=%nmero% &v=%nmero% &sub=%nmero% &ping=%nmero% &proxy=%nmero% &hits=%nmero% &noref=%nmero% &port=%nmero%




Tenta executar o seguinte ficheiro:

Executa um dos seguintes ficheiros:
   • %WINDIR%\ld15.exe


Executa um dos seguintes ficheiros:
   • %TEMPDIR%\\zpskon_1270669724.exe


Executa um dos seguintes ficheiros:
   • cmd /c c:\1.bat


Executa um dos seguintes ficheiros:
   • zpskon_12706697


Executa um dos seguintes ficheiros:
   • %TEMPDIR%\\zpskon_1270677929.exe


Executa um dos seguintes ficheiros:
   • sc create "captcha" type= share start= auto binPath= "%SYSDIR%\svchost.exe -k captcha"


Executa um dos seguintes ficheiros:
   • %TEMPDIR%\zpskon_1270677929.exe


Executa um dos seguintes ficheiros:
   • %TEMPDIR%\\zpskon_1270682172.exe


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha\parameters" /v ServiceDll /t REG_EXPAND_SZ /d "%WINDIR%\system


Executa um dos seguintes ficheiros:
   • reg add HKLM\Software\Microsoft\Windows\CurrentVersion /v Port /t REG_DWORD /d 1002


Executa um dos seguintes ficheiros:
   • netsh add allowedprogram "%PROGRAM FILES%\webserver\webserver.exe" webserver ENABLE


Executa um dos seguintes ficheiros:
   • cmd /c %WINDIR%\dxxdv34567.bat


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v FailureActions /t REG_BINARY /d 0000000000000000000000000300


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v Type /t REG_DWORD /d 288 /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost" /v captcha /t REG_MULTI_SZ /d "captcha\0" /f


Executa um dos seguintes ficheiros:
   • rundll32 captcha,ServiceMain


Executa um dos seguintes ficheiros:
   • regedit /s c:\2.reg


Executa um dos seguintes ficheiros:
   • netsh firewall add portopening TCP 1002 webserver ENABLE


Executa um dos seguintes ficheiros:
   • netsh firewall add portopening TCP 53 webserver ENABLE


Executa um dos seguintes ficheiros:
   • sc create "webserver" binPath= "%PROGRAM FILES%\webserver\webserver.exe" type= share start= auto


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\webserver" /v FailureActions /t REG_BINARY /d 00000000000000000000000003


Executa um dos seguintes ficheiros:
   • sc start "webserver"


Executa um dos seguintes ficheiros:
   • df1a245s4_1592.exe


Executa um dos seguintes ficheiros:
   • cmd /c SelfDel.bat


Executa um dos seguintes ficheiros:
   • %directrio de execuo do malware%\df1a245s4_1592.exe


Executa um dos seguintes ficheiros:
   • %WINDIR%\bill106.exe


Executa um dos seguintes ficheiros:
   • "%HOME%\Local Settings\Application Data\rdr_1270658517.exe"


Executa um dos seguintes ficheiros:
   • cmd /c "%HOME%\Local Settings\Application Data\rdr_1270658517.exe" /res >%temp%\captcha.bat


Executa um dos seguintes ficheiros:
   • "%HOME%\Local Settings\Application Data\rdr_1270658517.exe" /res


Executa um dos seguintes ficheiros:
   • cmd /c "%temp%\captcha.bat"


Executa um dos seguintes ficheiros:
   • netsh firewall add allowedprogram name="captcha" program="%SYSDIR%\svchost.exe" mode=ENABLE

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "sysldtray"="%WINDIR%\ld15.exe"
   • "sysfbtray"="%WINDIR%\bill106.exe"



Altera as seguintes chaves de registo do Windows:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   Valor recente:
   • "Port"=dword:0x000003ea

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   Valor recente:
   • "captcha"="captcha"

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alteraes:

O acesso ao seguinte domnio redireccionado para outro destino:
   • 85.13.206.115 u07012010u.com


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em segunda-feira, 12 de abril de 2010
Descrição atualizada por Petre Galan em segunda-feira, 12 de abril de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.