VírusTR/Spy.188416.128
Data em que surgiu:23/08/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:188.416 Bytes
MD5 checksum:f9cb29a3558271d771ed4e201b27e1f5
Versão IVDF:7.10.10.242 - segunda-feira, 23 de agosto de 2010

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Mcafee: Artemis!F9CB29A35582
   •  Kaspersky: Trojan.Win32.Buzus.ffys
   •  Microsoft: Trojan:Win32/Ircbrute
   •  Panda: Trj/CI.A
   •  PCTools: Backdoor.LolBot
   •  Eset: IRC/SdBot
   •  Sunbelt: Trojan.Win32.Ircbrute
   •  AhnLab: Worm/Win32.Palevo
   •  DrWeb: Trojan.DownLoader1.18394
   •  Ikarus: Trojan.Win32.Buzus


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efeitos secundários:
   • Baixa as definições de segurança
   • Descarrega ficheiros
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\jusched.exe



Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • %cookies%\index.dat
   • %HOME%\Local Settings\History\History.IE5\index.dat

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %temporary internet files%\Content.IE5\index.dat

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"

 IRC – Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Nome de utilizador

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Carlos Valero Llabata em quarta-feira, 25 de agosto de 2010
Descrição atualizada por Carlos Valero Llabata em quarta-feira, 25 de agosto de 2010

Voltar . . . .