Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Scar.apqx
Data em que surgiu:20/11/2009
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:43.008 Bytes
MD5 checksum:5cdef39df4850fe9d241490fe4305df2
Versão IVDF:7.10.01.43 - sexta-feira, 20 de novembro de 2009

 Vulgarmente Alias:
   •  Mcafee: W32/Koobface.worm.gen.d
   •  Sophos: W32/Koobface-V
   •  Panda: W32/Koobface.JT.worm
   •  Eset: Win32/Koobface.NCK
   •  Bitdefender: Win32.Worm.Koobface.AMW


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %unidade%\windows\ld15.exe



Apaga a cópia executada inicialmente.



Elimina os seguintes ficheiros:
   • %TEMPDIR%\zpskon_1270677929.exe
   • %unidade%\3.reg
   • %directório de execução do malware%\df1a245s4_1592.exe
   • %directório de execução do malware%\SelfDel.bat
   • %directório de execução do malware%\sd.dat
   • %WINDIR%\dxxdv34567.bat
   • %unidade%\h.tmp
   • %TEMPDIR%\captcha.bat
   • %unidade%\1.bat
   • %TEMPDIR%\zpskon_1270669724.exe
   • %HOME%\Local Settings\Application Data\rdr_1270658517.exe



São criados os seguintes ficheiros:

%unidade%\3.reg É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

%directório de execução do malware%\df1a245s4_1592.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dropper.Gen

– %HOME%\Local Settings\Application Data\010112010146100109.xxe
%TEMPDIR%\zpskon_1270682172.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: BDS/Backdoor.Gen

– %HOME%\Local Settings\Application Data\010112010146115119.xxe
– %HOME%\Local Settings\Application Data\rdr_1270658517.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dropper.Gen

%unidade%\windows\bill106.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dropper.Gen

%directório de execução do malware%\SelfDel.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.
%SYSDIR%\drivers\etc\hosts
%TEMPDIR%\zpskon_1270677929.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dropper.Gen

%WINDIR%\fdgg34353edfgdfdf
%unidade%\windows\bk23567.dat
– %HOME%\Local Settings\Application Data\0101120101465198.xxe
%unidade%\h.tmp
%WINDIR%\dxxdv34567.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.
%PROGRAM FILES%\webserver\webserver.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: BDS/Backdoor.Gen

%directório de execução do malware%\sd.dat
%TEMPDIR%\captcha.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.
%SYSDIR%\captcha.dll
%TEMPDIR%\zpskon_1270669724.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/ATRAPS.Gen

%unidade%\1.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.



Tenta efectuar o download de alguns ficheiros:

– A partir das seguintes localizações:
   • http://banmismokingban.com/**********/?action=&v=%número%
   • http://uuviet.toila.net/**********/?action=&v=%número%
   • http://prospect-m.ru/**********/?action=&v=%número%
   • http://glyk.ch/**********/?action=&v=%número%
   • http://sindhpk.com/**********/?action=&v=%número%
   • http://www.smoketrend.de/**********/?action=&v=%número%
   • http://rabadanmakeupartist.com/**********/?action=&v=%número%
   • http://www.friesen-research.com/**********/?action=&v=%número%
   • http://azfatso.org/**********/?action=&v=%número%
   • http://lineaidea.it/**********/?action=&v=%número%
   • http://mysex.co.il/**********/?action=&v=%número%
   • http://daveshieldsmedia.com/**********/?action=&v=%número%
   • http://kingdom-shakers.com/**********/?action=&v=%número%
   • http://www.eurostandart.biz/**********/?action=&v=%número%
   • http://drpaulaprice.com/**********/?action=&v=%número%
   • http://eurorot.com/**********/?action=&v=%número%
   • http://rowanhenderson.com/**********/?action=&v=%número%
   • http://sigmai.co.il/**********/?action=&v=%número%
   • http://anlaegkp.dk/**********/?action=&v=%número%
   • http://inartdesigns.com/**********/?action=&v=%número%
   • http://inartdesigns.com/**********/?action=&ff=%número% &a=%número% &v=%número% &l=%número% &c_fb=%número% &c_ms=%número% &c_hi=%número% &c_tw=%número% &c_be=%número% &c_tg=%número% &c_nl=%número% &iedef=%número%
   • http://mdcoc.net/**********/?getexe=
   • http://www.idif.it/**********/?action=&v=%número% &crc=%número%
   • http://www.idif.it/**********/?action=&a=%número% &v=%número% &c_fb=%número% &ie=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://amazingpets.org/**********/?action=&v=%número% &crc=%número%
   • http://amazingpets.org/**********/?action=&mode=&age=%número% &a=%número% &v=%número% &c_fb=%número% &ie=


– A partir da seguinte localização:
   • http://insta-find.com/adm/**********


– A partir da seguinte localização:
   • http://u07012010u.com/**********/?uptime=%número% &v=%número% &sub=%número% &ping=%número% &proxy=%número% &hits=%número% &noref=%número% &port=%número%




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %WINDIR%\ld15.exe


– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\\zpskon_1270669724.exe


– Executa um dos seguintes ficheiros:
   • cmd /c c:\1.bat


– Executa um dos seguintes ficheiros:
   • zpskon_12706697


– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\\zpskon_1270677929.exe


– Executa um dos seguintes ficheiros:
   • sc create "captcha" type= share start= auto binPath= "%SYSDIR%\svchost.exe -k captcha"


– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\zpskon_1270677929.exe


– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\\zpskon_1270682172.exe


– Executa um dos seguintes ficheiros:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha\parameters" /v ServiceDll /t REG_EXPAND_SZ /d "%WINDIR%\system


– Executa um dos seguintes ficheiros:
   • reg add HKLM\Software\Microsoft\Windows\CurrentVersion /v Port /t REG_DWORD /d 1002


– Executa um dos seguintes ficheiros:
   • netsh add allowedprogram "%PROGRAM FILES%\webserver\webserver.exe" webserver ENABLE


– Executa um dos seguintes ficheiros:
   • cmd /c %WINDIR%\dxxdv34567.bat


– Executa um dos seguintes ficheiros:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v FailureActions /t REG_BINARY /d 0000000000000000000000000300


– Executa um dos seguintes ficheiros:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v Type /t REG_DWORD /d 288 /f


– Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost" /v captcha /t REG_MULTI_SZ /d "captcha\0" /f


– Executa um dos seguintes ficheiros:
   • rundll32 captcha,ServiceMain


– Executa um dos seguintes ficheiros:
   • regedit /s c:\2.reg


– Executa um dos seguintes ficheiros:
   • netsh firewall add portopening TCP 1002 webserver ENABLE


– Executa um dos seguintes ficheiros:
   • netsh firewall add portopening TCP 53 webserver ENABLE


– Executa um dos seguintes ficheiros:
   • sc create "webserver" binPath= "%PROGRAM FILES%\webserver\webserver.exe" type= share start= auto


– Executa um dos seguintes ficheiros:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\webserver" /v FailureActions /t REG_BINARY /d 00000000000000000000000003


– Executa um dos seguintes ficheiros:
   • sc start "webserver"


– Executa um dos seguintes ficheiros:
   • df1a245s4_1592.exe


– Executa um dos seguintes ficheiros:
   • cmd /c SelfDel.bat


– Executa um dos seguintes ficheiros:
   • %directório de execução do malware%\df1a245s4_1592.exe


– Executa um dos seguintes ficheiros:
   • %WINDIR%\bill106.exe


– Executa um dos seguintes ficheiros:
   • "%HOME%\Local Settings\Application Data\rdr_1270658517.exe"


– Executa um dos seguintes ficheiros:
   • cmd /c "%HOME%\Local Settings\Application Data\rdr_1270658517.exe" /res >%temp%\captcha.bat


– Executa um dos seguintes ficheiros:
   • "%HOME%\Local Settings\Application Data\rdr_1270658517.exe" /res


– Executa um dos seguintes ficheiros:
   • cmd /c "%temp%\captcha.bat"


– Executa um dos seguintes ficheiros:
   • netsh firewall add allowedprogram name="captcha" program="%SYSDIR%\svchost.exe" mode=ENABLE

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "sysldtray"="%WINDIR%\ld15.exe"
   • "sysfbtray"="%WINDIR%\bill106.exe"



Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   Valor recente:
   • "Port"=dword:0x000003ea

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   Valor recente:
   • "captcha"="captcha"

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– O acesso ao seguinte domínio é redireccionado para outro destino:
   • 85.13.206.115 u07012010u.com


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em segunda-feira, 12 de abril de 2010
Descrição atualizada por Petre Galan em segunda-feira, 12 de abril de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.