VírusTR/Ransom.Agent.JU
Data em que surgiu:01/02/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:192.512 Bytes
MD5 checksum:0c13905ce4c33f29496cae8eb4e63a95
Versão IVDF:7.10.03.141 - segunda-feira, 1 de fevereiro de 2010

 Vulgarmente Alias:
   •  Mcafee: W32/Akbot
   •  Sophos: Troj/QakBot-D
   •  Panda: Trj/Sinowal.WUJ
   •  Eset: Win32/Spy.Zbot.UN
   •  Bitdefender: Trojan.Zbot.HMK


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\sdra64.exe



Elimina o seguinte ficheiro:
   • %SYSDIR%\lowsec\user.ds



São criados os seguintes ficheiros:

%SYSDIR%\lowsec\user.ds
%SYSDIR%\lowsec\local.ds
%SYSDIR%\lowsec\user.ds.lll

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"



São adicionadas as seguintes chaves ao registo:

– [HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{4776C4DC-E894-7C06-2148-5D73CEF5F905}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:F7,09,F2,0D
   • "{6E633338-267E-2A79-6830-386668666866}"=hex:F7,09,F2,0D

– [HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:F7,09,F2,0D
   • "{6E633338-267E-2A79-6830-386668666866}"=hex:F7,09,F2,0D

– [HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:F7,09,F2,0D
   • "{6E633338-267E-2A79-6830-386668666866}"=hex:F7,09,F2,0D



Altera as seguintes chaves de registo do Windows:

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Valor recente:
   • "ParseAutoexec"="1"

Desactiva a Firewall do Windows

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Valor recente:
   • "EnableFirewall"=dword:0x00000000

– [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Valor recente:
   • "ParseAutoexec"="1"

– [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Valor recente:
   • "ParseAutoexec"="1"

 Backdoor É aberta a seguinte porta:

– 239.255.2**********.2********** numa porta UDP 1900

 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa remota num processo.

    Nome do processo:
   • winlogon.exe



– Introduz-se a si próprio como uma tarefa remota num processo.

    Nome do processo:
   • svchost.exe



– It injects itself as a remote threat into processe (pt)

It is injected into all processes. (pt)


 Informações diversas Ligação à internet:

Examina com o seguinte nome:
   • dnsplugweb.com

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 9 de abril de 2010
Descrição atualizada por Petre Galan em quinta-feira, 15 de abril de 2010

Voltar . . . .