Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Spy.SpyEyes.eic
Data em que surgiu:10/01/2011
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:294.912 Bytes
MD5 checksum:a17ee10abdaf0c5c34abb551dab340b5
Versão VDF:7.10.07.173
Versão IVDF:7.11.01.60 - segunda-feira, 10 de janeiro de 2011

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-Spy.Win32.SpyEyes.eic
   •  F-Secure: Trojan-Spy.Win32.SpyEyes.eic
   •  Microsoft: Win32/EyeStye.H
   •  Eset: Win32/Spy.SpyEye.CA
   •  DrWeb: BackDoor.Spy.706


Sistemas Operativos:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efeitos secundários:
   • Descarrega um ficheiro
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %unidade%\portwexexe\portwexexe.exe



Apaga a cópia executada inicialmente.



É criado o seguinte ficheiro:

%unidade%\portwexexe\config.bin

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
   • "portwexexe.exe"="%unidade%\portwexexe\portwexexe.exe"



São adicionadas as seguintes chaves ao registo:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\1
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\2
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\3
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\4
   • "1406"=dword:00000000

– HKCU\Software\Microsoft\Internet Explorer\PhishingFilter
   • "EnabledV8"=dword:00000000
   • "ShownServiceDownBalloon"=dword:00000000

– [HKCU\Software\Microsoft\Internet Explorer\Recovery]
   • "ClearBrowsingHistoryOnExit"=dword:00000000

– HKCU\Software\Microsoft\Internet Explorer\DBControl


O seguinte valor do registo é alterado:

Opções de segurança baixa no Internet Explorer:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   Valor anterior:
   • "EnableHttp1_1"=%definições do utilizador %
   • "ProxyHttp1.1"=%definições do utilizador %
   • "WarnOnPost"=%definições do utilizador %
   • "WarnOnPostRedirect"=%definições do utilizador %
   • "WarnOnIntranet"=%definições do utilizador %
   • "GlobalUserOffline"=%definições do utilizador %
   Valor recente:
   • "EnableHttp1_1"=dword:00000001
   • "ProxyHttp1.1"=dword:00000001
   • "WarnOnPost"=hex:00,00,00,00
   • "WarnOnPostRedirect"=dword:00000000
   • "WarnOnIntranet"=dword:00000000
   • "GlobalUserOffline"=dword:00000000

 Backdoor Contacta o servidor:
Seguinte:
   • http://soundpong.com/ahjsda65sda/**********guid=%caracteres%&ver=%número% &stat=%caracteres%&ie=6.0.2900.2180&os=%número% &ut=%caracteres%&plg=%caracteres%&ccrc=%número% &md5=%caracteres%



Envia informação sobre:
    • Nome do computador
    • Utilizador Actual
    • Situação actual de malware
    • Nome de utilizador
    • Informação sobre o sistema operativo Windows

 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa remota num processo.

    Nome do processo:
   • explorer.exe


 Informações diversas  Procura uma ligação de internet contactando o seguinte web site:
   • http://www.microsoft.com

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX


Criptografia:
Criptografado - O código do vírus está criptografado no arquivo.

Descrição enviada por Ana Maria Niculescu em sexta-feira, 25 de fevereiro de 2011
Descrição atualizada por Ana Maria Niculescu em quinta-feira, 3 de março de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.