Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/Koobface.M
Data em que surgiu:02/08/2010
Tipo:Trojan
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:Baixo
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:13.824 Bytes
MD5 checksum:89ce444593ac67ab669768c2160fc4ee
Verso IVDF:7.10.10.45 - segunda-feira, 2 de agosto de 2010

 Vulgarmente Alias:
   •  Bitdefender: Trojan.Agent.21307
   •  Panda: W32/Koobface.KG.worm
   •  Eset: Win32/TrojanProxy.Small.NEB


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localizao:
   • %PROGRAM FILES%\webserver\webserver.exe




Tenta efectuar o download do ficheiro:

A partir da seguinte localizao:
   • http://u07012010u.com/**********/?uptime=%nmero% &v=%nmero% &sub=%nmero% &ping=%nmero% &proxy=%nmero% &hits=%nmero% &noref=%nmero% &port=%nmero% &ftp=%nmero%




Tenta executar o seguinte ficheiro:

Executa um dos seguintes ficheiros:
   • reg add HKLM\Software\Microsoft\Windows\CurrentVersion /v Port /t REG_DWORD /d 1034


Executa um dos seguintes ficheiros:
   • netsh add allowedprogram "%PROGRAM FILES%\webserver\webserver.exe" webserver ENABLE


Executa um dos seguintes ficheiros:
   • netsh firewall add portopening TCP 1034 webserver ENABLE


Executa um dos seguintes ficheiros:
   • netsh firewall add portopening TCP 4000 webserver ENABLE


Executa um dos seguintes ficheiros:
   • netsh firewall add portopening TCP 53 webserver ENABLE


Executa um dos seguintes ficheiros:
   • sc create "webserver" binPath= "%PROGRAM FILES%\webserver\webserver.exe" type= share start= auto


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\webserver" /v FailureActions /t REG_BINARY /d 00000000000000000000000003000000140000000100000060EA00000100000060EA00000100000060EA0000 /f


Executa um dos seguintes ficheiros:
   • sc start "webserver"

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o servio ao iniciar o sistema:

[HKLM\SYSTEM\CurrentControlSet\Services\webserver]
   • "ErrorControl"=dword:0x00000001
   • "ImagePath"="%PROGRAM FILES%\webserver\webserver.exe"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



Cria a seguinte entrada de forma a fazer um bypass firewall do Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "1034:TCP"="1034:TCP:*:Enabled:webserver"
   • "4000:TCP"="4000:TCP:*:Enabled:webserver"
   • "53:TCP"="53:TCP:*:Enabled:webserver"



adicionada a seguinte chave de registo:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "Port"=dword:0x00000344

 Backdoor  aberta a seguinte porta:

%PROGRAM FILES%\webserver\webserver.exe numa porta TCP 1034

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em quarta-feira, 22 de setembro de 2010
Descrição atualizada por Petre Galan em sexta-feira, 24 de setembro de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.