VírusTR/Scar.bxqc
Data em que surgiu:24/03/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De médio a elevado
Nível de risco:De médio a elevado
Ficheiro estático:Sim
Tamanho:225.280 Bytes
MD5 checksum:0f728c1187e046662148ee7021e4b3b1
Versão VDF:7.10.02.73
Versão IVDF:7.10.05.192 - quarta-feira, 24 de março de 2010

 Vulgarmente Alias:
   •  Bitdefender: Trojan.Agent.APCE
   •  Panda: Bck/Oscarbot.YL
   •  Eset: Win32/Sality.NAE


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\into.exe



Apaga a cópia executada inicialmente.



Elimina o seguinte ficheiro:
   • %SYSDIR%\wmimgr32.dl_



São criados os seguintes ficheiros:

%SYSDIR%\wmimgr32.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: W32/Sality.L

%SYSDIR%\wmimgr32.dl_ Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: W32/Sality.L.1




Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://www.invis1blearm3333.com/**********/?id607421


– A partir das seguintes localizações:
   • http://saeu.ego**********.com/?id607421
   • http://ngmtrl.555**********.com/?id607421
   • http://wbrqu.wtc**********.com/?id607421
   • http://cqjri.fdp**********.com/?id607421
   • http://rkvv.bpf**********.com/?id607421
   • http://vmmucs.u7z**********.com/?id607421
   • http://searchportal.inf**********.com/?o_id=%número% &domainname=%caracteres%
   • http://gcst.zvc**********.com/?id607421
   • http://www.rus**********.com/
   • http://sp7.you**********.com/?acc=%caracteres%&dm=%caracteres%


– A partir da seguinte localização:
   • http://sp7.yousee.com/Landers/lander_6/**********?q=%número%




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %WINDIR%\syste

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%ficheiro executado%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "person"="%SYSDIR%\into.exe"

 Backdoor São abertas as seguintes portas:

– sam5.mom**********.com numa porta UDP 5051
– sam2.123**********.com numa porta UDP 5051

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %SYSDIR%\wmimgr32.dll

    Nome do processo:
   • explorer.exe


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.

Descrição enviada por Petre Galan em sexta-feira, 23 de julho de 2010
Descrição atualizada por Andrei Ivanes em sexta-feira, 30 de julho de 2010

Voltar . . . .