Full description

Vírus	TR/Spyeye.H.17
Data em que surgiu:	18/09/2010
Tipo:	Trojan
Incluído na lista "In The Wild"	Sim
Nível de danos:	De baixo a médio
Nível de distribuição:	Baixo
Nível de risco:	De baixo a médio
Ficheiro estático:	Sim
Tamanho:	252.496 Bytes
MD5 checksum:	05a2d7b4d816c392632e40ac34a9d886
Versão VDF:	7.10.05.60
Versão IVDF:	7.10.11.219 - sábado, 18 de setembro de 2010

Vulgarmente Alias:
   • Kaspersky: Trojan-Spy.Win32.Zbot.bkia
   • Bitdefender: Trojan.Generic.KD.194182
   • GData: Trojan.Generic.KD.194182
   • DrWeb: Trojan.PWS.SpySweep.42

Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

Ficheiros Autocopia-se para a seguinte localização:
• C:\Recycle.Bin\Recycle.Bin.exe

Apaga a cópia executada inicialmente.

É criado o seguinte ficheiro:

– C:\Recycle.Bin\config.bin

Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
• C:\Recycle.Bin\Recycle.Bin.exe

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Recycle.Bin.exe"="C:\Recycle.Bin\Recycle.Bin.exe"

São adicionadas as seguintes chaves ao registo:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   • "1409"=dword:0x00000003

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   • "1409"=dword:0x00000003

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   • "1409"=dword:0x00000003

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "GlobalUserOffline"=dword:0x00000000
   • "ProxyEnable"=dword:0x00000000
   • "ProxyHttp1.1"=dword:0x00000001
   • "WarnOnIntranet"=dword:0x00000000
   • "WarnOnPostRedirect"=dword:0x00000000

– [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft Windows]
   • "000000EDE6693FF8"=hex:3A,3D,66,99,AF,AE,AE,AE,AE,A9,AA,AA,AA,AA,A8,A8,A8,A8,A5,A5,A5,A5,D1,BE,9E,EA,8B,E9,85,E0,E0,92,F7,87,B6,C6,C4,C4,D8,F2,F2,F2,F2,90,FF,8B,D4,B3,C6,AF,CB,CB,FE,D0,E1,CF,FD,CB,FB,CB,EA,BC,E4,C9,FE,C6,FE,CE,F9,C9,8C,C9,8A,CB,FB,B8,99,AA,92,D7,E3,D0,92,AA,99,FC,FA,EB,2F,29,23,55,30,42,31,58,37,59,59,68,58,6B,5B,62,03,00,22,7E,75,75,65,09,66,05,64,08,57,23,4A,27,42,42,70,40,71,40,6E,5E,68,46,76,4E,6E,5E,69,53,67,50,6A,5F,6A,44,74,46,76,13,16,47,03,06,6A,6E,6E,7E,04,6B,05,60,60,48,48,0F,0F,42,42,16,16,36,36,1D,1D,2D,2D,1E,1E,24,24,14,14,24,24,0D,0D,2D,2D,68,68,46,D2,D2,D4,A1,A1,D3,D3,BC,BC,CC,CC,A9,E5,E1,E1,E9,BA,BA,CE,CE,AF,AF,C1,C1,A5,A5,C4,C4,B6,B6,D2,D2,F2,F2,A6,A6,CF,CF,A2,A2,C7,C7,A6,AD,BD,3F,34,57,3C,98,88,89,BA,8E,BD,8C,24,37,33,20,20,20,20,4F,3C,63,8B,9D,61,7D,95,93,93,91,FD,9C,F2,95,E0,81,E6,83,DC,B5,D1,D1,E0,D0,E3,D0,D0,D0,D0,D0,C1,C1,C1

– [HKCU\Software\Microsoft\Internet Explorer\Recovery]
   • "ClearBrowsingHistoryOnExit"=dword:0x00000000

– [HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
   • "EnabledV8"=dword:0x00000000
   • "ShownServiceDownBalloon"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   • "1409"=dword:0x00000003

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   • "1409"=dword:0x00000003

Altera as seguintes chaves de registo do Windows:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wma\OpenWithProgids]
   Valor recente:
   • "WMAFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp2\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp3\OpenWithProgids]
   Valor recente:
   • "mp3file"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .rtf\OpenWithProgids]
   Valor recente:
   • "rtffile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jpeg\OpenWithProgids]
   Valor recente:
   • "jpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .tiff\OpenWithProgids]
   Valor recente:
   • "TIFImage.Document"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jpe\OpenWithProgids]
   Valor recente:
   • "jpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wmv\OpenWithProgids]
   Valor recente:
   • "WMVFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wpl\OpenWithProgids]
   Valor recente:
   • "WPLFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\1]
   Valor recente:
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpg\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .avi\OpenWithProgids]
   Valor recente:
   • "avifile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .txt\OpenWithProgids]
   Valor recente:
   • "txtfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .m3u\OpenWithProgids]
   Valor recente:
   • "m3ufile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpv2\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .png\OpenWithProgids]
   Valor recente:
   • "pngfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wav\OpenWithProgids]
   Valor recente:
   • "soundrec"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\3]
   Valor recente:
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .ivf\OpenWithProgids]
   Valor recente:
   • "IVFfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .css\OpenWithProgids]
   Valor recente:
   • "CSSfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .xml\OpenWithProgids]
   Valor recente:
   • "xmlfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wm\OpenWithProgids]
   Valor recente:
   • "ASFFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpe\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .tif\OpenWithProgids]
   Valor recente:
   • "TIFImage.Document"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .asf\OpenWithProgids]
   Valor recente:
   • "ASFFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   Valor recente:
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wmx\OpenWithProgids]
   Valor recente:
   • "ASXFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jpg\OpenWithProgids]
   Valor recente:
   • "jpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .doc\OpenWithProgids]
   Valor recente:
   • "WordPad.Document.1"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp2v\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Valor recente:
   • "EnableHttp1_1"=dword:0x00000001
   • "MigrateProxy"=dword:0x00000001
   • "WarnOnPost"=hex:00,00,00,00

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aif\OpenWithProgids]
   Valor recente:
   • "AIFFFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jfif\OpenWithProgids]
   Valor recente:
   • "pjpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .m1v\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .ico\OpenWithProgids]
   Valor recente:
   • "icofile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpeg\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .snd\OpenWithProgids]
   Valor recente:
   • "AUFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aifc\OpenWithProgids]
   Valor recente:
   • "AIFFFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wmf\OpenWithProgids]
   Valor recente:
   • "wmffile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .dvr-ms\OpenWithProgids]
   Valor recente:
   • "WMP.DVR-MSFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .gif\OpenWithProgids]
   Valor recente:
   • "giffile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   Valor recente:
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wvx\OpenWithProgids]
   Valor recente:
   • "WVXFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .midi\OpenWithProgids]
   Valor recente:
   • "midfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .rmi\OpenWithProgids]
   Valor recente:
   • "midfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   Valor recente:
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .au\OpenWithProgids]
   Valor recente:
   • "AUFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\4]
   Valor recente:
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aiff\OpenWithProgids]
   Valor recente:
   • "AIFFFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mid\OpenWithProgids]
   Valor recente:
   • "midfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wax\OpenWithProgids]
   Valor recente:
   • "WAXFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .htm\OpenWithProgids]
   Valor recente:
   • "htmlfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .bmp\OpenWithProgids]
   Valor recente:
   • "Paint.Picture"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .xsl\OpenWithProgids]
   Valor recente:
   • "xslfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\2]
   Valor recente:
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .zip\OpenWithProgids]
   Valor recente:
   • "CompressedFolder"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpa\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   Valor recente:
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .asx\OpenWithProgids]
   Valor recente:
   • "ASXFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .html\OpenWithProgids]
   Valor recente:
   • "htmlfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wri\OpenWithProgids]
   Valor recente:
   • "wrifile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .emf\OpenWithProgids]
   Valor recente:
   • "emffile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .dib\OpenWithProgids]
   Valor recente:
   • "Paint.Picture"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Valor recente:
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

Backdoor Contacta o servidor:
Seguintes:
   • mar**********.com:443 (TCP)
   • http://markizak.com/BViewbv32y77ebcbc/**********?guid=%caracteres%&ver=%número% &ie=%caracteres%&os=%caracteres%&ut=%caracteres%&ccrc=%caracteres%&md5=%caracteres%&plg=%caracteres%&stat=%caracteres%

Envia informação sobre:
    • Nome do computador
    • Utilizador Actual
    • Situação actual de malware
    • Nome de utilizador
    • Informação sobre o sistema operativo Windows

Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa remota num processo.

Nome do processo:
• explorer.exe

– Introduz-se a si próprio como uma tarefa remota num processo.

É injetado em todos os processos.

Informações diversas Procura uma ligação de internet contactando o seguinte web site:
• http://www.microsoft.com

Mutex:
Cria o seguinte Mutex:
• QMuUDu54P2TXtUUU8dYw1F0XZ60Sg

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quarta-feira, 8 de junho de 2011
Descrição atualizada por Petre Galan em quarta-feira, 8 de junho de 2011

Voltar . . . .

Precisa consertar seu PC?

Produtos em destaque

Mais produtos

Produtos mais populares

Todos os produtos

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas

Produtos em destaque

Mais produtos

Produtos mais populares

Todos os produtos

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas