VírusTR/Spy.Agent.144896
Data em que surgiu:28/07/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Alto
Nível de distribuição:Médio
Nível de risco:De médio a elevado
Ficheiro estático:Sim
Tamanho:144.896 Bytes
MD5 checksum:d3de1f75b8151c284ab04819994c0Dc9
Versão IVDF:7.10.09.249 - quarta-feira, 28 de julho de 2010

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: Downloader.MisleadApp
   •  Kaspersky: Trojan.Win32.FraudPack.bcet
   •  TrendMicro: TROJ_FAKEAV.SMXG
   •  F-Secure: Trojan:W32/Cosmu.Z
   •  Sophos: Mal/Behav-321
   •  Bitdefender: Trojan.Downloader.FakeAlert.FN
   •  Microsoft: TrojanDownloader:Win32/FakeRean
   •  AVG: Crypt.YBS
   •  Panda: Adware/DesktopSecurity2010
   •  PCTools: Downloader.MisleadApp
   •  VirusBuster: Trojan.Bredolab.DDF
   •  Eset: Win32/TrojanDownloader.FakeAlert.BAT
   •  GData: Trojan.Downloader.FakeAlert.FN
   •  AhnLab: Win-Trojan/Fakeav.144896.G
   •  Authentium: W32/Trojan3.BWP
   •  DrWeb: Trojan.DownLoad1.64194
   •  Fortinet: W32/Agent.AEB5!tr.dldr
   •  Ikarus: Trojan.Win32.FakeAV


Sistemas Operativos:
   • Windows 98
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efeitos secundários:
   • Descarrega um ficheiro
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %PROGRAM FILES%\MSN\MSNCoreFiles\Setup\MSNUNINCommunications.exe
   • %PROGRAM FILES%\Common Files\Java\Update\Base Images\jre1.5.0.b64\patch-jre1.5.0_11.b03\PlatformEdition.exe
   • %PROGRAM FILES%\Windows Media Player\MicrosoftRPlayer9.00.00.3250.exe
   • %PROGRAM FILES%\MSN\MSNCoreFiles\msnmetalupdate.exe
   • %PROGRAM FILES%\Common Files\Microsoft Shared\DAO\MicrosoftMicrosoft.ex
   • %PROGRAM FILES%\Common Files\Microsoft Shared\DW\1036\ApplicationReporting.exe



São criados os seguintes ficheiros:

– Ficheiros temporários que poderam ser apagados mais tarde:
   • %TEMPDIR%\qas1.tmp
   • %TEMPDIR%\qas2.tmp
   • %TEMPDIR%\qas3.tmp
   • %TEMPDIR%\qas4.tmp
   • %TEMPDIR%\qas5.tmp

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%ficheiro executado%"="%directório de execução do malware%\%ficheiro executado%"
   • "KernelFaultCheck"="%systemroot%\system32\dumprep 0 -k"
   • "MicrosoftMicrosoft"="%PROGRAM FILES%\Common Files\Microsoft Shared\DAO\MicrosoftMicrosoft.exe"



São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "%ficheiro executado%"="%directório de execução do malware%\%ficheiro executado%"
   • "UpdateRegUtils"="%PROGRAM FILES%\Common Files\Java\Update\Base Images\jre1.5.0.b64\patch-jre1.5.0_11.b03\PlatformEdition.exe"

– [HKLM\SOFTWARE\Microsoft\MediaPlayer\Setup\Files]
   • "1"=%valores hex%
   • "2"=%valores hex%
   • "3"=%valores hex%
   • "4"=%valores hex%

Descrição enviada por Carlos Valero Llabata em quinta-feira, 12 de agosto de 2010
Descrição atualizada por Carlos Valero Llabata em quinta-feira, 12 de agosto de 2010

Voltar . . . .