Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Koobface.M
Data em que surgiu:02/08/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:13.824 Bytes
MD5 checksum:89ce444593ac67ab669768c2160fc4ee
Versão IVDF:7.10.10.45 - segunda-feira, 2 de agosto de 2010

 Vulgarmente Alias:
   •  Bitdefender: Trojan.Agent.21307
   •  Panda: W32/Koobface.KG.worm
   •  Eset: Win32/TrojanProxy.Small.NEB


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %PROGRAM FILES%\webserver\webserver.exe




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://u07012010u.com/**********/?uptime=%número% &v=%número% &sub=%número% &ping=%número% &proxy=%número% &hits=%número% &noref=%número% &port=%número% &ftp=%número%




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • reg add HKLM\Software\Microsoft\Windows\CurrentVersion /v Port /t REG_DWORD /d 1034


– Executa um dos seguintes ficheiros:
   • netsh add allowedprogram "%PROGRAM FILES%\webserver\webserver.exe" webserver ENABLE


– Executa um dos seguintes ficheiros:
   • netsh firewall add portopening TCP 1034 webserver ENABLE


– Executa um dos seguintes ficheiros:
   • netsh firewall add portopening TCP 4000 webserver ENABLE


– Executa um dos seguintes ficheiros:
   • netsh firewall add portopening TCP 53 webserver ENABLE


– Executa um dos seguintes ficheiros:
   • sc create "webserver" binPath= "%PROGRAM FILES%\webserver\webserver.exe" type= share start= auto


– Executa um dos seguintes ficheiros:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\webserver" /v FailureActions /t REG_BINARY /d 00000000000000000000000003000000140000000100000060EA00000100000060EA00000100000060EA0000 /f


– Executa um dos seguintes ficheiros:
   • sc start "webserver"

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\webserver]
   • "ErrorControl"=dword:0x00000001
   • "ImagePath"="%PROGRAM FILES%\webserver\webserver.exe"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "1034:TCP"="1034:TCP:*:Enabled:webserver"
   • "4000:TCP"="4000:TCP:*:Enabled:webserver"
   • "53:TCP"="53:TCP:*:Enabled:webserver"



É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "Port"=dword:0x00000344

 Backdoor É aberta a seguinte porta:

%PROGRAM FILES%\webserver\webserver.exe numa porta TCP 1034

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quarta-feira, 22 de setembro de 2010
Descrição atualizada por Petre Galan em sexta-feira, 24 de setembro de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.