VírusTR/PSW.Magania.dblc
Data em que surgiu:09/04/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:171.520 Bytes
MD5 checksum:3b114efff7e74aa04b42efae4a240bb8
Versão IVDF:7.10.02.137

 Vulgarmente Meio de transmissão:
   • Recurso de execução automática


Alias:
   •  Sophos: W32/Taterf-AE
   •  Bitdefender: Trojan.Generic.3599512
   •  Panda: W32/Lineage.LKE
   •  Eset: Win32/PSW.OnLineGames.OUM


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\cyban.exe
   • %unidade%\a2xa.exe



Apaga a cópia executada inicialmente.



Elimina os seguintes ficheiros:
   • %SYSDIR%\cyban0.dll
   • %TEMPDIR%\ah.exe
   • %TEMPDIR%\ah1.rar



São criados os seguintes ficheiros:

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%TEMPDIR%\ah1.rar
%TEMPDIR%\ah.exe
%SYSDIR%\cyban0.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/PSW.Magania.dblf

%SYSDIR%\nodabc0.dll
%SYSDIR%\ieban0.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Taterf.DL.14

%SYSDIR%\nodabc.exe
%SYSDIR%\nodie0.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Crypt.ASPM.Gen

%temporary internet files%\ah1[1].rar
%temporary internet files%\ah[1].rar



Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://www.yahookjh.com/1hg/**********


– A partir da seguinte localização:
   • http://www.googlew65.com/1hg/**********




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %SYSDIR%\regsvr32.exe /s %SYSDIR%\ieban0.dll


– Executa um dos seguintes ficheiros:
   • "%PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE"


– Executa um dos seguintes ficheiros:
   • "%TEMPDIR%\ah.exe"


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\regsvr32.exe /s %SYSDIR%\nodie0.dll

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "cybansos"="%SYSDIR%\cyban.exe"
   • "nodsos"="%SYSDIR%\nodabc.exe"



São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Classes\TypeLib\
   {5DA7432B-6725-4ADE-BF17-C328743011FD}\1.0\FLAGS]
   • "@"="0"

– [HKLM\SOFTWARE\Classes\CLSID\{5DA743EA-6725-4ADE-BF17-C328743011FD}\
   InprocServer32]
   • "@"="%SYSDIR%\nodie0.dll"
   • "ThreadingModel"="Apartment"

– [HKLM\SOFTWARE\Classes\Interface\
   {5DA743EB-6725-4ADE-BF17-C328743011FD}\ProxyStubClsid]
   • "@"="{00020424-0000-0000-C000-000000000046}"

– [HKLM\SOFTWARE\Classes\TypeLib\
   {5DA7432B-6725-4ADE-BF17-C328743011FD}\1.0\0\win32]
   • "@"="%SYSDIR%\nodie0.dll"

– [HKLM\SOFTWARE\Classes\CLSID\
   {7F23592B-8F2C-4C08-83A8-BBE01BF9CC64}]
   • "@"="IEHlprObj Class"

– [HKLM\SOFTWARE\Classes\TypeLib\
   {7F235922-8F2C-4C08-83A8-BBE01BF9CC64}\1.0]
   • "@"="IEHelper 1.0 Type Library"

– [HKLM\SOFTWARE\Classes\Interface\
   {5DA743EB-6725-4ADE-BF17-C328743011FD}]
   • "@"="IIEHlprObj"

– [HKLM\SOFTWARE\Classes\CLSID\{7F23592B-8F2C-4C08-83A8-BBE01BF9CC64}\
   VersionIndependentProgID]
   • "@"="IEHlprObj.IEHlprObj"

– [HKLM\SOFTWARE\Classes\CLSID\
   {5DA743EA-6725-4ADE-BF17-C328743011FD}]
   • "@"="IEHlprObj Class"

– [HKLM\SOFTWARE\Classes\Interface\
   {5DA743EB-6725-4ADE-BF17-C328743011FD}\ProxyStubClsid32]
   • "@"="{00020424-0000-0000-C000-000000000046}"

– [HKLM\SOFTWARE\Classes\IEHlprObj.IEHlprObj\CurVer]
   • "@"="IEHlprObj.IEHlprObj.1"

– [HKLM\SOFTWARE\Classes\Interface\
   {7F23592C-8F2C-4C08-83A8-BBE01BF9CC64}\ProxyStubClsid32]
   • "@"="{00020424-0000-0000-C000-000000000046}"

– [HKLM\SOFTWARE\Classes\IEHlprObj.IEHlprObj]
   • "@"="IEHlprObj Class"

– [HKLM\SOFTWARE\Classes\CLSID\MNDOWN]
   • "urlinfo"="chsdwf.z"

– [HKLM\SOFTWARE\Classes\CLSID\{5DA743EA-6725-4ADE-BF17-C328743011FD}\
   ProgID]
   • "@"="IEHlprObj.IEHlprObj.1"

– [HKLM\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1\CLSID]
   • "@"="{5DA743EA-6725-4ADE-BF17-C328743011FD}"

– [HKLM\SOFTWARE\Classes\Interface\
   {7F23592C-8F2C-4C08-83A8-BBE01BF9CC64}\TypeLib]
   • "@"="{7F235922-8F2C-4C08-83A8-BBE01BF9CC64}"
   • "Version"="1.0"

– [HKLM\SOFTWARE\Classes\Interface\
   {7F23592C-8F2C-4C08-83A8-BBE01BF9CC64}\ProxyStubClsid]
   • "@"="{00020424-0000-0000-C000-000000000046}"

– [HKLM\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1]
   • "@"="IEHlprObj Class"

– [HKLM\SOFTWARE\Classes\TypeLib\
   {7F235922-8F2C-4C08-83A8-BBE01BF9CC64}\1.0\0\win32]
   • "@"="%SYSDIR%\ieban0.dll"

– [HKLM\SOFTWARE\Classes\TypeLib\
   {7F235922-8F2C-4C08-83A8-BBE01BF9CC64}\1.0\FLAGS]
   • "@"="0"

– [HKLM\SOFTWARE\Classes\TypeLib\
   {5DA7432B-6725-4ADE-BF17-C328743011FD}\1.0]
   • "@"="IEHelper 1.0 Type Library"

– [HKLM\SOFTWARE\Classes\CLSID\{5DA743EA-6725-4ADE-BF17-C328743011FD}\
   VersionIndependentProgID]
   • "@"="IEHlprObj.IEHlprObj"

– [HKLM\SOFTWARE\Classes\Interface\
   {7F23592C-8F2C-4C08-83A8-BBE01BF9CC64}]
   • "@"="IIEHlprObj"

– [HKLM\SOFTWARE\Classes\CLSID\{7F23592B-8F2C-4C08-83A8-BBE01BF9CC64}\
   ProgID]
   • "@"="IEHlprObj.IEHlprObj.1"

– [HKLM\SOFTWARE\Classes\Interface\
   {5DA743EB-6725-4ADE-BF17-C328743011FD}\TypeLib]
   • "@"="{5DA7432B-6725-4ADE-BF17-C328743011FD}"
   • "Version"="1.0"

– [HKLM\SOFTWARE\Classes\TypeLib\
   {5DA7432B-6725-4ADE-BF17-C328743011FD}\1.0\HELPDIR]
   • "@"="%SYSDIR%\"

– [HKLM\SOFTWARE\Classes\TypeLib\
   {7F235922-8F2C-4C08-83A8-BBE01BF9CC64}\1.0\HELPDIR]
   • "@"="%SYSDIR%\"

– [HKLM\SOFTWARE\Classes\CLSID\{7F23592B-8F2C-4C08-83A8-BBE01BF9CC64}\
   InprocServer32]
   • "@"="%SYSDIR%\ieban0.dll"
   • "ThreadingModel"="Apartment"

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %SYSDIR%\cyban0.dll

    Nome do processo:
   • explorer.exe



– Introduz-se a si próprio como uma tarefa remota num processo.

    Nome do processo:
   • iexplore.exe



–  Introduz o seguinte ficheiro num processo: %SYSDIR%\nodabc0.dll

    Nome do processo:
   • explorer.exe


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quinta-feira, 26 de agosto de 2010
Descrição atualizada por Petre Galan em quinta-feira, 26 de agosto de 2010

Voltar . . . .