VírusTR/Oficla.AA
Data em que surgiu:07/07/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Baixo
Ficheiro estático:Sim
Tamanho:34.816 Bytes
MD5 checksum:ee97199dec81e92d2a1013c827afd5bc
Versão IVDF:7.10.09.29 - quarta-feira, 7 de julho de 2010

 Vulgarmente Meio de transmissão:
   • E-mail


Sistemas Operativos:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %TEMPDIR%\svchost.exe



São criados os seguintes ficheiros:

%TEMPDIR%\tmpf5c96f2a.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.
– %HOME%\Application Data\Voutt\ifzap.exe
– %HOME%\Application Data\Fipizy\poyr.imx
%temporary internet files%\Content.IE5\89ATUD5F\boom[1].jpg
%temporary internet files%\Content.IE5\89ATUD5F\google[1].htm
%temporary internet files%\Content.IE5\89ATUD5F\webhp[1].htm
%temporary internet files%\Content.IE5\89ATUD5F\webstat[1].htm
– %HOME%\Application Data\Beepoh\erar.exe



Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://www.um**********oom5.gif
Encontra-se no disco rígido: %TEMPDIR%\system.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe"



A chave seguinte é adicionada (num loop infinito) ao registo, para executar os processos depois de reinicializar.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "{B579423A-2522-DBB3-1CB3-9B491420520F}"="\"C:\\Documents and Settings\\makrorechner\\Application Data\\Beepoh\\erar.exe\""



Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe"="C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe:*:Enabled:svchost.exe"
   • 



É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\Ikcie]
   • %valores hex%

 E-mail Não tem rotinas próprias de propagação mas é enviado por email. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Assunto:
O seguinte:
   • DHL Tracking Number



Corpo:
O corpo do email é o seguinte:

   • Hello!
     
     The courier company was not able to deliver your parcel by your address.
     
     You may pickup the parcel at our post office personaly.
     
     The shipping label is attached to this e-mail.
     Please print this label to get this package at our post office.
     
     Thank you for attention.
     DHL Delivery Services.


Atalho:
O ficheiro de atalho tem o seguinte nome:
   • DHL_INVOICE23.zip

O ficheiro de atalho contém uma cópia do próprio malware.



O email pode ser parecido com o seguinte:


 Introdução de código viral noutros processos – Introduz-se a si próprio num processo.

    Nome do processo:
   • explorer.exe


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Patrick Schoenherr em quarta-feira, 7 de julho de 2010
Descrição atualizada por Patrick Schoenherr em quarta-feira, 7 de julho de 2010

Voltar . . . .