VírusTR/Oficla.W.1
Data em que surgiu:14/07/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:862528 Bytes
MD5 checksum:41B2DBB997CE5FF443DD5594EB6BCFF2
Versão IVDF:7.10.09.86 - quarta-feira, 14 de julho de 2010

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  F-Secure: Trojan-Downloader:W32/Oficla.GX
   •  Sophos: Mal/FakeAV-BW


Sistemas Operativos:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros  Copia-se a si próprio para a seguinte localização. São adicionados caracteres aleatórios no final do ficheiro para ser diferente do original.
   • %SYSDIR%\svrwsc.exe



É criado o seguinte ficheiro:

– Ficheiro não malicioso:
   • %WINDIR%\Debug\UserMode\userenv.log

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– [HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%valores hex%
   • "DisplayName"="Windows Security Center Service"
   • "ObjectName"="LocalSystem"
   • "Description"="The service provides COM APIs for independent software vendors to register and record the state of their products to the Security Center service."
   •

– [HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc\Security]
   • "Security"=hex:%valores hex%



São adicionadas as seguintes chaves ao registo:

– [HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc\Enum]
   • "0"="Root\LEGACY_SVRWSC\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVRWSC]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVRWSC\0000]
   • "Service"="SvrWsc"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Windows Security Center Service"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVRWSC\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\DirectX\MSA]
   • "ver"=hex(b):cd,a2,c7,01,38,6b,01,d1
   • "X1"=hex:%valores hex%

– [HKLM\SOFTWARE\Microsoft\DirectX\MSB]
   • "X1"=hex:00,00,00,00

 Backdoor Contacta o servidor:
Seguinte:
   • m**********ng.ru/music/forum/index1.php

Também, repete a ligação periodicamente. Isto é feito usando o método HTTP POST através de scripts PHP.

Descrição enviada por Patrick Schoenherr em quarta-feira, 14 de julho de 2010
Descrição atualizada por Patrick Schoenherr em quarta-feira, 14 de julho de 2010

Voltar . . . .