VírusTR/Drop.Typic.bed
Data em que surgiu:12/05/2010
Tipo:Trojan
Subtipo:Dropper
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:772.608 Bytes
MD5 checksum:cc1d492a772b8572c27edaa4c29e5d86
Versão IVDF:7.10.03.17

 Vulgarmente Meios de transmissão:
   • Recurso de execução automática
   • Peer to Peer


Alias:
   •  Sophos: Mal/CryptBox-A
   •  Bitdefender: Win32.Worm.Merond.A
   •  Panda: Bck/Spybot.AKG
   •  Eset: Win32/Merond.AC


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %unidade%\dir\install\install\jtdll.exe
   • %unidade%\RECYCLER\%CLSID%\jtdll.exe



Altera o conteúdo de um ficheiro.
– C:\dir\install\install\jtdll.exe



Apaga a cópia executada inicialmente.



Elimina o seguinte ficheiro:
   • %TEMPDIR%\XX--XX--XX.txt



São criados os seguintes ficheiros:

%TEMPDIR%\XX--XX--XX.txt
%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%TEMPDIR%\UuU.uUu
%TEMPDIR%\XxX.xXx



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • "%PROGRAM FILES%\Internet Explorer\iexplore.exe"


– Executa um dos seguintes ficheiros:
   • "c:\dir\install\install\jtdll.exe"

 Registry (Registo do Windows) É adicionada a seguinte chave de registo:



Altera as seguintes chaves de registo do Windows:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   Valor recente:
   • "Policies"="c:\dir\install\install\jtdll.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   Valor recente:
   • "HKCU"="c:\dir\install\install\jtdll.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   Valor recente:
   • "HKLM"="c:\dir\install\install\jtdll.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   Valor recente:
   • "Policies"="c:\dir\install\install\jtdll.exe"

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção:   Obtém a pasta partilhada examinando as seguintes chaves de registo:
   • \software\Morpheus
   • \software\Xolox
   • \software\Xolox
   • \software\Shareaza
   • \software\LimeWire


 Backdoor É aberta a seguinte porta:

– javaupdate.ser**********.org numa porta TCP 443

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 27 de agosto de 2010
Descrição atualizada por Petre Galan em sexta-feira, 27 de agosto de 2010

Voltar . . . .