VírusTR/Neeris.67584
Data em que surgiu:31/03/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:67.584 Bytes
MD5 checksum:f7db2ac64bf9874bc03d847426c0c811
Versão IVDF:7.10.06.06 - quarta-feira, 31 de março de 2010

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Sophos: W32/Autorun-AEX
   •  Bitdefender: Trojan.Agent.AMMK
   •  Panda: W32/Ircbot.CKA
   •  Eset: Win32/Injector.MM


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Possibilita acesso não autorizado ao computador
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\smsc.exe



Apaga a cópia executada inicialmente.



É criado o seguinte ficheiro:

%SYSDIR%\drivers\sysdrv32.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Hacktool.Tcpz.A




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • "%SYSDIR%\smsc.exe"

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WSSVC"="%SYSDIR%\smsc.exe"



São adicionadas as seguintes chaves ao registo:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   SVCWINSPOOL]
   • "@"="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
   SVCWINSPOOL]
   • "@"="Service"

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Exploit:
Faz uso dos seguintes Exploits:
– MS04-011 (LSASS Vulnerability)
– MS06-040 (Vulnerability in Server Service)


Criação de endereços IP:
Cria endereços IP aleatórios enquanto mantém os primeiros dois octetos do seu próprio endereço. Depois tenta estabelecer uma ligação com os endereços criados.

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: b.vsp**********.com
Porta: 988
Canal #lox
Nickname: [00-USA-XP-%número% ]

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quinta-feira, 5 de agosto de 2010
Descrição atualizada por Petre Galan em quinta-feira, 5 de agosto de 2010

Voltar . . . .