VírusWorm/Spybot.95744
Data em que surgiu:06/05/2005
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:95.744 Bytes
MD5 checksum:19ad756af282a3af98dc50f3c40e51b0
Versão IVDF:6.30.00.159 - sexta-feira, 6 de maio de 2005

 Vulgarmente Alias:
   •  Mcafee: Generic.dx
   •  Bitdefender: Trojan.Generic.3291040
   •  Eset: Win32/Poebot.NCA


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Possibilita acesso não autorizado ao computador
   • Baixa as definições de segurança
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\spooIsv.exe



Apaga a cópia executada inicialmente.



Elimina o seguinte ficheiro:
   • %directório de execução do malware%\kgorzsd.bat



É criado o seguinte ficheiro:

%directório de execução do malware%\kgorzsd.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • cmd /c ""%directório de execução do malware%\kgorzsd.bat" "


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\spooIsv.exe

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Spooler SubSystem App"="%SYSDIR%\spooIsv.exe"



Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\spooIsv.exe"="%SYSDIR%\spooIsv.exe:*:Enabled:Spooler
      SubSystem App"

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: her.d0k**********.com
Porta: 4466
Canal #balengor
Nickname: d[cUnawXg]b

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Borland C++.

Descrição enviada por Petre Galan em quinta-feira, 12 de agosto de 2010
Descrição atualizada por Petre Galan em quinta-feira, 12 de agosto de 2010

Voltar . . . .