Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusW32/Slugin.A
Data em que surgiu:28/09/2009
Tipo:Trojan
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:Mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:864.739 Bytes
MD5 checksum:79c28ac645beb57c4aa9a5f9bf738581
Verso IVDF:7.01.06.44 - segunda-feira, 28 de setembro de 2009

 Vulgarmente Meio de transmisso:
    Recurso de execuo automtica
   • Rede local
    Messenger
   • Peer to Peer


Alias:
   •  Mcafee: W32/Wplugin
   •  Sophos: W32/Slugin-A
   •  Panda: W32/Wplugin.A
   •  Eset: Win32/Slugin.A
   •  Bitdefender: Win32.Worm.IM.H


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Informao de roubos
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizaes
   • %unidade%\RECYCLER\%CLSID%\usbhelp.exe
   • %SYSDIR%\winhost32.exe



Apaga a cpia executada inicialmente.



So criados os seguintes ficheiros:

%unidade%\autorun.inf um ficheiro de texto no malicioso com o seguinte contedo:
   •

%unidade%\RECYCLER\%CLSID%\Desktop.ini
%HOME%\Application Data\Wplugin.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: W32/Slugin.drop

%PROGRAM FILES%\Yahoo!\Messenger\ymsgr_tray.exe.local
%WINDIR%\ws2help.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: W32/Slugin.A

%PROGRAM FILES%\Yahoo!\Messenger\ws2help.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: W32/Slugin.A

%WINDIR%\explorer.exe.local
%WINDIR%\Wplugin.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: W32/Slugin.drop




Tenta executar o seguinte ficheiro:

Executa um dos seguintes ficheiros:
   • %SYSDIR%\winhost32.exe %nmero% "%directrio de execuo do malware%\%ficheiro executado%"

 Registry (Registo do Windows) So adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "Microsoft Host Service"="winhost32.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Host Service"="winhost32.exe"



adicionada a seguinte chave de registo:

[HKCU\Software\Microsoft\OLE]
   • "Microsoft Host Service"="winhost32.exe"

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte aco:   Procura directrios com os seguintes textos:
   • \Program Files\LimeWire\Shared
   • \Program Files\eDonkey2000\incoming
   • \Program Files\KAZAA
   • \Program Files\Morpheus\My Shared Folder\
   • \Program Files\BearShare\Shared\
   • \Program Files\ICQ\Shared Files\
   • \Program Files\Grokster\My Grokster\
   • \My Downloads\


 Messenger Propaga-se atravs do Messenger. Tem as seguintes caractersticas:

 MSN Messenger


Para:
Todas as entradas na lista de contactos.
A mensagem enviada parece-se com uma das seguintes:

   • OMG remember the party a few weeks back? Look at the pictures from it! haha
     These pictures are halirous man..
     Hey check out these new pictures I took

O URL aponta para uma cpia do malware descrito. Se o utilizador descarregar e executar este ficheiro ter incio o processo de infeco do seu computador.

 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.


Execuo remota:
Tenta programar uma execuo remota do malware, na mquina recentemente infectada. Ento usa a funo de NetScheduleJobAdd.

 IRC Para enviar informao do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: havfun.no-**********.biz
Nickname: [WinXP||USA|000|%nmero%

Servidor: elvis.doe**********.com
Porta: 82
Canal #main
Nickname: [WinXP||USA|000|%nmero%

 Backdoor  aberta a seguinte porta:

winhost32.exe numa porta TCP aleatria Por forma a fornecer um servidor FTP.

 Roubos de informao Tenta roubar a seguinte informao:
– Windows Product ID

As seguintes CD Keys:
   • Software\Activision\Call of Duty 4\codkey; Software\Activision\Soldier
      of Fortune II - Double Helix; Software\Illusion Softworks\Hidden &
      Dangerous 2; Software\Techland\Chrome; Software\Westwood\NOX;
      Software\Westwood\Red Alert 2; Software\Westwood\Red Alert;
      Software\Westwood\Tiberian Sun; Software\Red Storm
      Entertainment\RAVENSHIELD; Software\Electronic Arts\EA Sports\Nascar
      Racing 2003\ergc; Software\Electronic Arts\EA Sports\Nascar Racing
      2002\ergc; Software\Electronic Arts\EA Sports\NHL 2003\ergc;
      Software\Electronic Arts\EA Sports\NHL 2002\ergc; Software\Electronic
      Arts\EA Sports\FIFA 2003\ergc; Software\Electronic Arts\EA Sports\FIFA
      2002\ergc; Software\Electronic Arts\EA GAMES\Shogun Total War -
      Warlord Edition\ergc; Software\Electronic Arts\EA GAMES\Need For Speed
      Underground\ergc; Software\Electronic Arts\EA GAMES\Need For Speed Hot
      Pursuit 2; Software\Electronic Arts\EA GAMES\Medal of Honor Allied
      Assault Spearhead\ergc; Software\Electronic Arts\EA GAMES\Medal of
      Honor Allied Assault Breakthrough\ergc; Software\Electronic Arts\EA
      GAMES\Medal of Honor Allied Assault\ergc; Software\Electronic Arts\EA
      GAMES\Global Operations\ergc; Software\Electronic Arts\EA
      GAMES\Generals\ergc; Software\Electronic Arts\EA GAMES\James Bond 007
      Nightfire\ergc; Software\Electronic Arts\EA GAMES\Command and Conquer
      Generals Zero Hour\ergc; Software\Electronic Arts\EA GAMES\Black and
      White\ergc; Software\Electronic Arts\EA GAMES\Battlefield
      Vietnam\ergc; Software\Electronic Arts\EA GAMES\Battlefield 1942
      Secret Weapons of WWII\ergc; Software\Electronic Arts\EA
      GAMES\Battlefield 1942 The Road to Rome\ergc; Software\Electronic
      Arts\EA GAMES\Battlefield 1942\ergc; Software\Electronic Arts\EA
      Games\Battlefield 2\ergc; Software\Electronic Arts\EA
      Distribution\Freedom Force\ergc; Software\Unreal Technology\Installed
      Apps\UT2004; Software\Unreal Technology\Installed Apps\UT2003;
      Software\Silver Style Entertainment\Soldiers Of Anarchy\Settings;
      Software\JoWooD\InstalledGames\IG2; Software\Valve\Half-Life\Settings;
      Software\Valve\Gunman\Settings; Software\Eugen Systems\The Gladiators;
      Software\Valve\CounterStrike\Settings;
      Software\BioWare\NWN\Neverwinter

A palavra-chave do seguinte programa:
   • Software\America Online\AOL Instant Messenger (TM)\CurrentVersion\Login

 Informaes diversas Alm disso contm os seguintes blocos de texto:
   • [cBot.cdkeys] %s CD Key: (%s).
   • [cBot.p2p] File Copied to Peer to Peer sharing.
   • [cBot.sock5] Server started on: %s:%d [USER]: %s [PASS]: %s
   • [cBot.main] Rebooting system.
   • [cBot.passwords] FireFox Started.
   • [cBot.cdkeys] Search completed.

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com o seguinte empacotador de runtime:
   • Armadillo

Descrição enviada por Petre Galan em terça-feira, 25 de maio de 2010
Descrição atualizada por Petre Galan em terça-feira, 25 de maio de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.