VírusTR/Vilsel.swd
Data em que surgiu:15/02/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:34.308 Bytes
MD5 checksum:98d00c91854a13f839b1b923961520f8
Versão IVDF:7.10.04.59 - segunda-feira, 15 de fevereiro de 2010

 Vulgarmente Meio de transmissão:
   • Autorun feature (pt)


Alias:
   •  Sophos: Mal/EncPk-ND
   •  Panda: Trj/Vilsel.U
   •  Eset: Win32/AutoRun.FakeAlert.DU
   •  Bitdefender: Trojan.Zbot.HNM


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %unidade%\autorun.exe
   • %SYSDIR%\logon.exe



Altera o conteúdo de um ficheiro.
%SYSDIR%\drivers\aec.sys



Apaga a cópia executada inicialmente.



Elimina os seguintes ficheiros:
   • %TEMPDIR%\rdl3.tmp.exe
   • %ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\UTemp.dtd
   • %TEMPDIR%\rdl2.tmp
   • %TEMPDIR%\alg.exe
   • %TEMPDIR%\rdl1.tmp



São criados os seguintes ficheiros:

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

%TEMPDIR%\rdl3.tmp.exe
– %ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\Ui.dtd
– %ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\swupdate.dll
– %ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\UTemp.dtd
– %ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\Local.dtd
%TEMPDIR%\rdl1.tmp Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: RKIT/Bezopi.G

%TEMPDIR%\rdl2.tmp
%TEMPDIR%\alg.exe



Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://wc-lost.info/**********


– A partir da seguinte localização:
   • http://teamstream.biz/**********


– A partir das seguintes localizações:
   • http://gp2x.ws/zg/**********?v=%número% &rs=&n=%número% &uid=%número%
   • http://gp2x.ws/zg/**********?v=%número% &rs=&n=%número% &uid=%número% &cc=%número%


– A partir da seguinte localização:
   • http://wc-zone.info/common/**********




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\rdl3.tmp.exe


– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\\alg.exe


– Executa um dos seguintes ficheiros:
   • netsh.exe firewall add allowedprogram program = "%TEMPDIR%\alg.exe" name = "Application Layer Gateway Service" mode = ENABLE scope = ALL profile = ALL


– Executa um dos seguintes ficheiros:
   • netsh.exe firewall add allowedprogram program = "%SYSDIR%\lsass.exe" name = "LSA Shell" mode = ENABLE scope = ALL profile = ALL

 Registry (Registo do Windows) Cria as seguintes entradas de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile\AuthorizedApplications\List]
   • "%TEMPDIR%\alg.exe"="%TEMPDIR%\alg.exe:*:Enabled:Application Layer Gateway Service"
   • "%SYSDIR%\lsass.exe"="%SYSDIR%\lsass.exe:*:Enabled:LSA Shell"



São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "SwUpdate"="{003541A1-3BC0-1B1C-AAF3-040114001C01"

– [HKLM\SOFTWARE\Classes\CLSID\{003541A1-3BC0-1B1C-AAF3-040114001C01}\
   InProcServer32]
   • "@"="%ALLUSERSPROFILE%\Application Data\Macromedia\SwUpdate\swupdate.dl"
   • "ThreadingModel"="Apartmen"

– [HKLM\SOFTWARE\Classes\CLSID\
   {003541A1-3BC0-1B1C-AAF3-040114001C01}]
   • "@"="SwUpdat"



Altera as seguintes chaves de registo do Windows:

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Valor recente:
   • "ParseAutoexec"="1"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor recente:
   • "Shell"="Explorer.exe logon.exe"

 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa remota num processo.

    Todos os processos que se seguem:
   • svchost.exe
   • explorer.exe


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 14 de maio de 2010
Descrição atualizada por Petre Galan em sexta-feira, 14 de maio de 2010

Voltar . . . .