Full description

Vírus	TR/Dldr.Agent.eckq
Data em que surgiu:	28/07/2010
Tipo:	Trojan
Subtipo:	Downloader
Incluído na lista "In The Wild"	Sim
Nível de danos:	Médio
Nível de distribuição:	Médio
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	118.784 Bytes
MD5 checksum:	a8dbf047f8b6d0eb40c01307ab798c28
Versão IVDF:	7.10.09.249 - quarta-feira, 28 de julho de 2010

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Kaspersky: Trojan-Downloader.Win32.Agent.eckq
   • Eset: a variant of Win32/Injector.CLP
   • AhnLab: Downloader/Win32.Agent

Sistemas Operativos:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7

Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega um ficheiro
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Informação de roubos

Ficheiros Autocopia-se para a seguinte localização:
• %HOME%\user1\winlogon.exe

Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
• http://0-1-0-**********-0-0.info/VERSION.TXT
Encontra-se no disco rígido: %HOME%\user1\VERSION.TXT

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\user1\winlogon.exe"

São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avnt.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avsched32.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avrescue.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avpmon.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\penis32.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\periscope.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\persfw.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\perswf.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\pf2.exe]
   • "Debugger"="\"%WINDIR%\twunk_16.exe\""

Altera as seguintes chaves de registo do Windows:

Home page do Internet Explorer:

– [HKEY_USERS\S-1-5-21-602162358-2077806209-839522115-1003\Software\
   Microsoft\Internet Explorer\Main]
   Valor anterior:
   • "Local Page"="c:\windows\\system32\\blank.htm"
   • "Start Page"="about:blank"
   • "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   Valor recente:
   • "Local Page"="http://www.nuevaq.fm"
   • "Start Page"="http://www.nuevaq.fm"
   • "Search Page"="http://www.nuevaq.fm"
   • "Default_Search_URL"="http://www.nuevaq.fm"
   • "Default_Page_URL"="http://www.nuevaq.fm"

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   Valor anterior:
   • "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   • "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   • "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   • "Local Page"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
   • 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
   • 62,00,6c,00,61,00,6e,00,6b,00,2e,00,68,00,74,00,6d,00,00,00
   • "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
   Valor recente:
   • "Default_Page_URL"="http://www.nuevaq.fm"
   • "Default_Search_URL"="http://www.nuevaq.fm"
   • "Search Page"="http://www.nuevaq.fm"
   • "Local Page"="http://www.nuevaq.fm"
   • "Start Page"="http://www.nuevaq.fm"

Introdução de código viral noutros processos – Introduz-se a si próprio num processo.

Nome do processo:
• svchost.exe

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Visual Basic.

Descrição enviada por Patrick Schoenherr em quinta-feira, 29 de julho de 2010
Descrição atualizada por Patrick Schoenherr em quinta-feira, 29 de julho de 2010

Voltar . . . .