Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Spyeye.H.17
Data em que surgiu:18/09/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:252.496 Bytes
MD5 checksum:05a2d7b4d816c392632e40ac34a9d886
Versão VDF:7.10.05.60
Versão IVDF:7.10.11.219 - sábado, 18 de setembro de 2010

 Vulgarmente Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.bkia
   •  Bitdefender: Trojan.Generic.KD.194182
   •  GData: Trojan.Generic.KD.194182
   •  DrWeb: Trojan.PWS.SpySweep.42


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • C:\Recycle.Bin\Recycle.Bin.exe



Apaga a cópia executada inicialmente.



É criado o seguinte ficheiro:

– C:\Recycle.Bin\config.bin



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • C:\Recycle.Bin\Recycle.Bin.exe

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Recycle.Bin.exe"="C:\Recycle.Bin\Recycle.Bin.exe"



São adicionadas as seguintes chaves ao registo:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   • "1409"=dword:0x00000003

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   • "1409"=dword:0x00000003

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   • "1409"=dword:0x00000003

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "GlobalUserOffline"=dword:0x00000000
   • "ProxyEnable"=dword:0x00000000
   • "ProxyHttp1.1"=dword:0x00000001
   • "WarnOnIntranet"=dword:0x00000000
   • "WarnOnPostRedirect"=dword:0x00000000

– [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft Windows]
   • "000000EDE6693FF8"=hex:3A,3D,66,99,AF,AE,AE,AE,AE,A9,AA,AA,AA,AA,A8,A8,A8,A8,A5,A5,A5,A5,D1,BE,9E,EA,8B,E9,85,E0,E0,92,F7,87,B6,C6,C4,C4,D8,F2,F2,F2,F2,90,FF,8B,D4,B3,C6,AF,CB,CB,FE,D0,E1,CF,FD,CB,FB,CB,EA,BC,E4,C9,FE,C6,FE,CE,F9,C9,8C,C9,8A,CB,FB,B8,99,AA,92,D7,E3,D0,92,AA,99,FC,FA,EB,2F,29,23,55,30,42,31,58,37,59,59,68,58,6B,5B,62,03,00,22,7E,75,75,65,09,66,05,64,08,57,23,4A,27,42,42,70,40,71,40,6E,5E,68,46,76,4E,6E,5E,69,53,67,50,6A,5F,6A,44,74,46,76,13,16,47,03,06,6A,6E,6E,7E,04,6B,05,60,60,48,48,0F,0F,42,42,16,16,36,36,1D,1D,2D,2D,1E,1E,24,24,14,14,24,24,0D,0D,2D,2D,68,68,46,D2,D2,D4,A1,A1,D3,D3,BC,BC,CC,CC,A9,E5,E1,E1,E9,BA,BA,CE,CE,AF,AF,C1,C1,A5,A5,C4,C4,B6,B6,D2,D2,F2,F2,A6,A6,CF,CF,A2,A2,C7,C7,A6,AD,BD,3F,34,57,3C,98,88,89,BA,8E,BD,8C,24,37,33,20,20,20,20,4F,3C,63,8B,9D,61,7D,95,93,93,91,FD,9C,F2,95,E0,81,E6,83,DC,B5,D1,D1,E0,D0,E3,D0,D0,D0,D0,D0,C1,C1,C1

– [HKCU\Software\Microsoft\Internet Explorer\Recovery]
   • "ClearBrowsingHistoryOnExit"=dword:0x00000000

– [HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
   • "EnabledV8"=dword:0x00000000
   • "ShownServiceDownBalloon"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   • "1409"=dword:0x00000003

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   • "1409"=dword:0x00000003



Altera as seguintes chaves de registo do Windows:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wma\OpenWithProgids]
   Valor recente:
   • "WMAFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp2\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp3\OpenWithProgids]
   Valor recente:
   • "mp3file"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .rtf\OpenWithProgids]
   Valor recente:
   • "rtffile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jpeg\OpenWithProgids]
   Valor recente:
   • "jpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .tiff\OpenWithProgids]
   Valor recente:
   • "TIFImage.Document"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jpe\OpenWithProgids]
   Valor recente:
   • "jpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wmv\OpenWithProgids]
   Valor recente:
   • "WMVFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wpl\OpenWithProgids]
   Valor recente:
   • "WPLFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\1]
   Valor recente:
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpg\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .avi\OpenWithProgids]
   Valor recente:
   • "avifile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .txt\OpenWithProgids]
   Valor recente:
   • "txtfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .m3u\OpenWithProgids]
   Valor recente:
   • "m3ufile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpv2\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .png\OpenWithProgids]
   Valor recente:
   • "pngfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wav\OpenWithProgids]
   Valor recente:
   • "soundrec"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\3]
   Valor recente:
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .ivf\OpenWithProgids]
   Valor recente:
   • "IVFfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .css\OpenWithProgids]
   Valor recente:
   • "CSSfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .xml\OpenWithProgids]
   Valor recente:
   • "xmlfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wm\OpenWithProgids]
   Valor recente:
   • "ASFFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpe\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .tif\OpenWithProgids]
   Valor recente:
   • "TIFImage.Document"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .asf\OpenWithProgids]
   Valor recente:
   • "ASFFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   Valor recente:
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wmx\OpenWithProgids]
   Valor recente:
   • "ASXFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jpg\OpenWithProgids]
   Valor recente:
   • "jpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .doc\OpenWithProgids]
   Valor recente:
   • "WordPad.Document.1"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp2v\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Valor recente:
   • "EnableHttp1_1"=dword:0x00000001
   • "MigrateProxy"=dword:0x00000001
   • "WarnOnPost"=hex:00,00,00,00

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aif\OpenWithProgids]
   Valor recente:
   • "AIFFFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .jfif\OpenWithProgids]
   Valor recente:
   • "pjpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .m1v\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .ico\OpenWithProgids]
   Valor recente:
   • "icofile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpeg\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .snd\OpenWithProgids]
   Valor recente:
   • "AUFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aifc\OpenWithProgids]
   Valor recente:
   • "AIFFFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wmf\OpenWithProgids]
   Valor recente:
   • "wmffile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .dvr-ms\OpenWithProgids]
   Valor recente:
   • "WMP.DVR-MSFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .gif\OpenWithProgids]
   Valor recente:
   • "giffile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   Valor recente:
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wvx\OpenWithProgids]
   Valor recente:
   • "WVXFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .midi\OpenWithProgids]
   Valor recente:
   • "midfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .rmi\OpenWithProgids]
   Valor recente:
   • "midfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   Valor recente:
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .au\OpenWithProgids]
   Valor recente:
   • "AUFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\4]
   Valor recente:
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aiff\OpenWithProgids]
   Valor recente:
   • "AIFFFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mid\OpenWithProgids]
   Valor recente:
   • "midfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wax\OpenWithProgids]
   Valor recente:
   • "WAXFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .htm\OpenWithProgids]
   Valor recente:
   • "htmlfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .bmp\OpenWithProgids]
   Valor recente:
   • "Paint.Picture"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .xsl\OpenWithProgids]
   Valor recente:
   • "xslfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\2]
   Valor recente:
   • "1406"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .zip\OpenWithProgids]
   Valor recente:
   • "CompressedFolder"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpa\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   Valor recente:
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .asx\OpenWithProgids]
   Valor recente:
   • "ASXFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .html\OpenWithProgids]
   Valor recente:
   • "htmlfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wri\OpenWithProgids]
   Valor recente:
   • "wrifile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .emf\OpenWithProgids]
   Valor recente:
   • "emffile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .dib\OpenWithProgids]
   Valor recente:
   • "Paint.Picture"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Valor recente:
   • "1406"=dword:0x00000000
   • "1609"=dword:0x00000000

 Backdoor Contacta o servidor:
Seguintes:
   • mar**********.com:443 (TCP)
   • http://markizak.com/BViewbv32y77ebcbc/**********?guid=%caracteres%&ver=%número% &ie=%caracteres%&os=%caracteres%&ut=%caracteres%&ccrc=%caracteres%&md5=%caracteres%&plg=%caracteres%&stat=%caracteres%



Envia informação sobre:
    • Nome do computador
    • Utilizador Actual
    • Situação actual de malware
    • Nome de utilizador
    • Informação sobre o sistema operativo Windows

 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa remota num processo.

    Nome do processo:
   • explorer.exe



– Introduz-se a si próprio como uma tarefa remota num processo.

É injetado em todos os processos.


 Informações diversas  Procura uma ligação de internet contactando o seguinte web site:
   • http://www.microsoft.com


Mutex:
Cria o seguinte Mutex:
   • QMuUDu54P2TXtUUU8dYw1F0XZ60Sg

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quarta-feira, 8 de junho de 2011
Descrição atualizada por Petre Galan em quarta-feira, 8 de junho de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.