Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/Spyeye.H.17
Data em que surgiu:18/09/2010
Tipo:Trojan
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:Baixo
Nvel de risco:De baixo a mdio
Ficheiro esttico:Sim
Tamanho:252.496 Bytes
MD5 checksum:05a2d7b4d816c392632e40ac34a9d886
Verso VDF:7.10.05.60
Verso IVDF:7.10.11.219 - sábado, 18 de setembro de 2010

 Vulgarmente Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.bkia
   •  Bitdefender: Trojan.Generic.KD.194182
     GData: Trojan.Generic.KD.194182
     DrWeb: Trojan.PWS.SpySweep.42


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localizao:
   • C:\Recycle.Bin\Recycle.Bin.exe



Apaga a cpia executada inicialmente.



criado o seguinte ficheiro:

C:\Recycle.Bin\config.bin



Tenta executar o seguinte ficheiro:

Executa um dos seguintes ficheiros:
   • C:\Recycle.Bin\Recycle.Bin.exe

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Recycle.Bin.exe"="C:\Recycle.Bin\Recycle.Bin.exe"



So adicionadas as seguintes chaves ao registo:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   • "1409"=dword:0x00000003

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   • "1409"=dword:0x00000003

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   • "1409"=dword:0x00000003

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "GlobalUserOffline"=dword:0x00000000
   • "ProxyEnable"=dword:0x00000000
   • "ProxyHttp1.1"=dword:0x00000001
   • "WarnOnIntranet"=dword:0x00000000
   • "WarnOnPostRedirect"=dword:0x00000000

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft Windows]
   • "000000EDE6693FF8"=hex:3A,3D,66,99,AF,AE,AE,AE,AE,A9,AA,AA,AA,AA,A8,A8,A8,A8,A5,A5,A5,A5,D1,BE,9E,EA,8B,E9,85,E0,E0,92,F7,87,B6,C6,C4,C4,D8,F2,F2,F2,F2,90,FF,8B,D4,B3,C6,AF,CB,CB,FE,D0,E1,CF,FD,CB,FB,CB,EA,BC,E4,C9,FE,C6,FE,CE,F9,C9,8C,C9,8A,CB,FB,B8,99,AA,92,D7,E3,D0,92,AA,99,FC,FA,EB,2F,29,23,55,30,42,31,58,37,59,59,68,58,6B,5B,62,03,00,22,7E,75,75,65,09,66,05,64,08,57,23,4A,27,42,42,70,40,71,40,6E,5E,68,46,76,4E,6E,5E,69,53,67,50,6A,5F,6A,44,74,46,76,13,16,47,03,06,6A,6E,6E,7E,04,6B,05,60,60,48,48,0F,0F,42,42,16,16,36,36,1D,1D,2D,2D,1E,1E,24,24,14,14,24,24,0D,0D,2D,2D,68,68,46,D2,D2,D4,A1,A1,D3,D3,BC,BC,CC,CC,A9,E5,E1,E1,E9,BA,BA,CE,CE,AF,AF,C1,C1,A5,A5,C4,C4,B6,B6,D2,D2,F2,F2,A6,A6,CF,CF,A2,A2,C7,C7,A6,AD,BD,3F,34,57,3C,98,88,89,BA,8E,BD,8C,24,37,33,20,20,20,20,4F,3C,63,8B,9D,61,7D,95,93,93,91,FD,9C,F2,95,E0,81,E6,83,DC,B5,D1,D1,E0,D0,E3,D0,D0,D0,D0,D0,C1,C1,C1

[HKCU\Software\Microsoft\Internet Explorer\Recovery]
   • "ClearBrowsingHistoryOnExit"=dword:0x00000000

[HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
   • "EnabledV8"=dword:0x00000000
   • "ShownServiceDownBalloon"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   • "1409"=dword:0x00000003

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   • "1409"=dword:0x00000003



Altera as seguintes chaves de registo do Windows:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wma\OpenWithProgids]
   Valor recente:
   • "WMAFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp2\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp3\OpenWithProgids]
   Valor recente:
   • "mp3file"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .rtf\OpenWithProgids]
   Valor recente:
   • "rtffile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jpeg\OpenWithProgids]
   Valor recente:
   • "jpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .tiff\OpenWithProgids]
   Valor recente:
   • "TIFImage.Document"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jpe\OpenWithProgids]
   Valor recente:
   • "jpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wmv\OpenWithProgids]
   Valor recente:
   • "WMVFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wpl\OpenWithProgids]
   Valor recente:
   • "WPLFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\1]
   Valor recente:
   • "1406"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpg\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .avi\OpenWithProgids]
   Valor recente:
   • "avifile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .txt\OpenWithProgids]
   Valor recente:
   • "txtfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .m3u\OpenWithProgids]
   Valor recente:
   • "m3ufile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpv2\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .png\OpenWithProgids]
   Valor recente:
   • "pngfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wav\OpenWithProgids]
   Valor recente:
   • "soundrec"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\3]
   Valor recente:
   • "1406"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .ivf\OpenWithProgids]
   Valor recente:
   • "IVFfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .css\OpenWithProgids]
   Valor recente:
   • "CSSfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .xml\OpenWithProgids]
   Valor recente:
   • "xmlfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wm\OpenWithProgids]
   Valor recente:
   • "ASFFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpe\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .tif\OpenWithProgids]
   Valor recente:
   • "TIFImage.Document"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .asf\OpenWithProgids]
   Valor recente:
   • "ASFFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   Valor recente:
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wmx\OpenWithProgids]
   Valor recente:
   • "ASXFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jpg\OpenWithProgids]
   Valor recente:
   • "jpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .doc\OpenWithProgids]
   Valor recente:
   • "WordPad.Document.1"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp2v\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Valor recente:
   • "EnableHttp1_1"=dword:0x00000001
   • "MigrateProxy"=dword:0x00000001
   • "WarnOnPost"=hex:00,00,00,00

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aif\OpenWithProgids]
   Valor recente:
   • "AIFFFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jfif\OpenWithProgids]
   Valor recente:
   • "pjpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .m1v\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .ico\OpenWithProgids]
   Valor recente:
   • "icofile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpeg\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .snd\OpenWithProgids]
   Valor recente:
   • "AUFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aifc\OpenWithProgids]
   Valor recente:
   • "AIFFFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wmf\OpenWithProgids]
   Valor recente:
   • "wmffile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .dvr-ms\OpenWithProgids]
   Valor recente:
   • "WMP.DVR-MSFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .gif\OpenWithProgids]
   Valor recente:
   • "giffile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   Valor recente:
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wvx\OpenWithProgids]
   Valor recente:
   • "WVXFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .midi\OpenWithProgids]
   Valor recente:
   • "midfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .rmi\OpenWithProgids]
   Valor recente:
   • "midfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   Valor recente:
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .au\OpenWithProgids]
   Valor recente:
   • "AUFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\4]
   Valor recente:
   • "1406"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aiff\OpenWithProgids]
   Valor recente:
   • "AIFFFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mid\OpenWithProgids]
   Valor recente:
   • "midfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wax\OpenWithProgids]
   Valor recente:
   • "WAXFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .htm\OpenWithProgids]
   Valor recente:
   • "htmlfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .bmp\OpenWithProgids]
   Valor recente:
   • "Paint.Picture"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .xsl\OpenWithProgids]
   Valor recente:
   • "xslfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\2]
   Valor recente:
   • "1406"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .zip\OpenWithProgids]
   Valor recente:
   • "CompressedFolder"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpa\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   Valor recente:
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .asx\OpenWithProgids]
   Valor recente:
   • "ASXFile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .html\OpenWithProgids]
   Valor recente:
   • "htmlfile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wri\OpenWithProgids]
   Valor recente:
   • "wrifile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .emf\OpenWithProgids]
   Valor recente:
   • "emffile"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .dib\OpenWithProgids]
   Valor recente:
   • "Paint.Picture"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Valor recente:
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

 Backdoor Contacta o servidor:
Seguintes:
   • mar**********.com:443 (TCP)
   • http://markizak.com/BViewbv32y77ebcbc/**********?guid=%caracteres%&ver=%nmero% &ie=%caracteres%&os=%caracteres%&ut=%caracteres%&ccrc=%caracteres%&md5=%caracteres%&plg=%caracteres%&stat=%caracteres%



Envia informao sobre:
    • Nome do computador
     Utilizador Actual
     Situao actual de malware
     Nome de utilizador
     Informao sobre o sistema operativo Windows

 Introduo de cdigo viral noutros processos Introduz-se a si prprio como uma tarefa remota num processo.

    Nome do processo:
   • explorer.exe



Introduz-se a si prprio como uma tarefa remota num processo.

injetado em todos os processos.


 Informaes diversas  Procura uma ligao de internet contactando o seguinte web site:
   • http://www.microsoft.com


Mutex:
Cria o seguinte Mutex:
   • QMuUDu54P2TXtUUU8dYw1F0XZ60Sg

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em quarta-feira, 8 de junho de 2011
Descrição atualizada por Petre Galan em quarta-feira, 8 de junho de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.