VírusTR/SpamBot.E
Data em que surgiu:19/07/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:55.808 Bytes
MD5 checksum:64ce27a4edc375f5dcb68b8641738f34
Versão IVDF:7.10.09.151 - quarta-feira, 21 de julho de 2010

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Mcafee: Spam-Mailbot.m
   •  Sophos: Mal/FakeAV-CZ
   •  Microsoft: Spammer:Win32/Tedroo
   •  Panda: Bck/Bredolab.AZ
   •  DrWeb: Trojan.Spambot.6788


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efeitos secundários:
   • Altera o registo do Windows
   • Utiliza o seu próprio motor de E-mail

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

Desactiva o Regedit e o Gestor de Tarefas:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Valor recente:
   • "id"="F15ECF88A2EC"
   • "remove"="%ficheiro executado%"

 E-mail Contém um motor de SMTP integrado para enviar e-mails de Spam. É estabelecida uma ligação directa com o servidor de destino. As características são as seguintes:


De:
O endereço do remetente é falsificado.


Para:
– Endereços gerados


Assunto:
O seguinte:
   • %endereço de e-mail do destinatário% VIAGRA ® Official Site
      -45%



Corpo:
– Contém código HTML.



O email pode ser parecido com o seguinte:


 Backdoor Contacta o servidor:
Seguinte:
   • http://19**********3.62/82567/kelly.php

Como resultado é dada capacidade de controlo remoto. Isto é feito usando o método HTTP GET através de scripts PHP.


Capacidades de controlo remoto:
    • Envia emails
    • Relacionado com SPAM

Descrição enviada por Patrick Schoenherr em quinta-feira, 22 de julho de 2010
Descrição atualizada por Patrick Schoenherr em quinta-feira, 22 de julho de 2010

Voltar . . . .