Precisa consertar seu PC?
Contrate um especialista
VírusW32/Slugin.A
Data em que surgiu:28/09/2009
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:864.739 Bytes
MD5 checksum:79c28ac645beb57c4aa9a5f9bf738581
Versão IVDF:7.01.06.44 - segunda-feira, 28 de setembro de 2009

 Vulgarmente Meio de transmissão:
   • Recurso de execução automática
   • Rede local
   • Messenger
   • Peer to Peer


Alias:
   •  Mcafee: W32/Wplugin
   •  Sophos: W32/Slugin-A
   •  Panda: W32/Wplugin.A
   •  Eset: Win32/Slugin.A
   •  Bitdefender: Win32.Worm.IM.H


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizações
   • %unidade%\RECYCLER\%CLSID%\usbhelp.exe
   • %SYSDIR%\winhost32.exe



Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

%unidade%\RECYCLER\%CLSID%\Desktop.ini
– %HOME%\Application Data\Wplugin.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: W32/Slugin.drop

%PROGRAM FILES%\Yahoo!\Messenger\ymsgr_tray.exe.local
%WINDIR%\ws2help.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: W32/Slugin.A

%PROGRAM FILES%\Yahoo!\Messenger\ws2help.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: W32/Slugin.A

%WINDIR%\explorer.exe.local
%WINDIR%\Wplugin.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: W32/Slugin.drop




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %SYSDIR%\winhost32.exe %número% "%directório de execução do malware%\%ficheiro executado%"

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "Microsoft Host Service"="winhost32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Host Service"="winhost32.exe"



É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\OLE]
   • "Microsoft Host Service"="winhost32.exe"

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção:   Procura directórios com os seguintes textos:
   • \Program Files\LimeWire\Shared
   • \Program Files\eDonkey2000\incoming
   • \Program Files\KAZAA
   • \Program Files\Morpheus\My Shared Folder\
   • \Program Files\BearShare\Shared\
   • \Program Files\ICQ\Shared Files\
   • \Program Files\Grokster\My Grokster\
   • \My Downloads\


 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– MSN Messenger


Para:
Todas as entradas na lista de contactos.
A mensagem enviada parece-se com uma das seguintes:

   • OMG remember the party a few weeks back? Look at the pictures from it! haha
     These pictures are halirous man..
     Hey check out these new pictures I took

O URL aponta para uma cópia do malware descrito. Se o utilizador descarregar e executar este ficheiro terá início o processo de infecção do seu computador.

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Execução remota:
–Tenta programar uma execução remota do malware, na máquina recentemente infectada. Então usa a função de NetScheduleJobAdd.

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: havfun.no-**********.biz
Nickname: [WinXP||USA|000|%número%

Servidor: elvis.doe**********.com
Porta: 82
Canal #main
Nickname: [WinXP||USA|000|%número%

 Backdoor É aberta a seguinte porta:

– winhost32.exe numa porta TCP aleatória Por forma a fornecer um servidor FTP.

 Roubos de informação Tenta roubar a seguinte informação:
– Windows Product ID

– As seguintes CD Keys:
   • Software\Activision\Call of Duty 4\codkey; Software\Activision\Soldier
      of Fortune II - Double Helix; Software\Illusion Softworks\Hidden &
      Dangerous 2; Software\Techland\Chrome; Software\Westwood\NOX;
      Software\Westwood\Red Alert 2; Software\Westwood\Red Alert;
      Software\Westwood\Tiberian Sun; Software\Red Storm
      Entertainment\RAVENSHIELD; Software\Electronic Arts\EA Sports\Nascar
      Racing 2003\ergc; Software\Electronic Arts\EA Sports\Nascar Racing
      2002\ergc; Software\Electronic Arts\EA Sports\NHL 2003\ergc;
      Software\Electronic Arts\EA Sports\NHL 2002\ergc; Software\Electronic
      Arts\EA Sports\FIFA 2003\ergc; Software\Electronic Arts\EA Sports\FIFA
      2002\ergc; Software\Electronic Arts\EA GAMES\Shogun Total War -
      Warlord Edition\ergc; Software\Electronic Arts\EA GAMES\Need For Speed
      Underground\ergc; Software\Electronic Arts\EA GAMES\Need For Speed Hot
      Pursuit 2; Software\Electronic Arts\EA GAMES\Medal of Honor Allied
      Assault Spearhead\ergc; Software\Electronic Arts\EA GAMES\Medal of
      Honor Allied Assault Breakthrough\ergc; Software\Electronic Arts\EA
      GAMES\Medal of Honor Allied Assault\ergc; Software\Electronic Arts\EA
      GAMES\Global Operations\ergc; Software\Electronic Arts\EA
      GAMES\Generals\ergc; Software\Electronic Arts\EA GAMES\James Bond 007
      Nightfire\ergc; Software\Electronic Arts\EA GAMES\Command and Conquer
      Generals Zero Hour\ergc; Software\Electronic Arts\EA GAMES\Black and
      White\ergc; Software\Electronic Arts\EA GAMES\Battlefield
      Vietnam\ergc; Software\Electronic Arts\EA GAMES\Battlefield 1942
      Secret Weapons of WWII\ergc; Software\Electronic Arts\EA
      GAMES\Battlefield 1942 The Road to Rome\ergc; Software\Electronic
      Arts\EA GAMES\Battlefield 1942\ergc; Software\Electronic Arts\EA
      Games\Battlefield 2\ergc; Software\Electronic Arts\EA
      Distribution\Freedom Force\ergc; Software\Unreal Technology\Installed
      Apps\UT2004; Software\Unreal Technology\Installed Apps\UT2003;
      Software\Silver Style Entertainment\Soldiers Of Anarchy\Settings;
      Software\JoWooD\InstalledGames\IG2; Software\Valve\Half-Life\Settings;
      Software\Valve\Gunman\Settings; Software\Eugen Systems\The Gladiators;
      Software\Valve\CounterStrike\Settings;
      Software\BioWare\NWN\Neverwinter

– A palavra-chave do seguinte programa:
   • Software\America Online\AOL Instant Messenger (TM)\CurrentVersion\Login

 Informações diversas Além disso contém os seguintes blocos de texto:
   • [cBot.cdkeys] %s CD Key: (%s).
   • [cBot.p2p] File Copied to Peer to Peer sharing.
   • [cBot.sock5] Server started on: %s:%d [USER]: %s [PASS]: %s
   • [cBot.main] Rebooting system.
   • [cBot.passwords] FireFox Started.
   • [cBot.cdkeys] Search completed.

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • Armadillo

Descrição enviada por Petre Galan em terça-feira, 25 de maio de 2010
Descrição atualizada por Petre Galan em terça-feira, 25 de maio de 2010

Voltar . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Todos os direitos reservados.

Minha Conta

https:// Esta janela é criptografada para sua segurança.