Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Refroso.4295685
Data em que surgiu:07/04/2011
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:429.568 Bytes
MD5 checksum:45bf31069aa64c6054052e39bdf983fa
Versão VDF:7.11.05.220 - quinta-feira, 7 de abril de 2011
Versão IVDF:7.11.05.220 - quinta-feira, 7 de abril de 2011

 Vulgarmente Meios de transmissão:
   • Recurso de execução automática
   • Peer to Peer


Alias:
   •  Kaspersky: Worm.Win32.AutoRun.hso
   •  F-Secure: Worm.Win32.AutoRun.hso
   •  Bitdefender: Gen:Variant.Refroso.5
   •  GData: Gen:Variant.Refroso.5
   •  DrWeb: Trojan.DownLoader2.29164


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para as seguintes localizações
   • %HOME%\Application Data\update.exe
   • %unidade%\update.exe



São criados os seguintes ficheiros:

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

– %HOME%\Application Data\data.dat



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • cmd /c REG ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v "DoNotAllowExceptions" /t REG_DWORD /d "0" /f


– Executa um dos seguintes ficheiros:
   • cmd /c REG ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "%ficheiro executado%" /t REG_SZ /d "%ficheiro executado%:*:Enabled:Windows Messanger" /f


– Executa um dos seguintes ficheiros:
   • cmd /c REG ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "%HOME%\Application Data\update.exe" /t REG_SZ /d "%HOME%\Application Data\update.exe":*:Enabled:Windows Messanger" /f

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WinDefend"="%HOME%\Application Data\update.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WinDefend"="%HOME%\Application Data\update.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   run]
   • "WinDefend"="%HOME%\Application Data\update.exe"



Cria as seguintes entradas de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "DoNotAllowExceptions"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%HOME%\Application Data\update.exe"="%HOME%\Application Data\update.exe:*:Enabled:Windows Messanger"
   • "%ficheiro executado%"="%ficheiro executado%:*:Enabled:Windows Messanger"



São adicionadas as seguintes chaves ao registo:

– [HKCU\Software\VB and VBA Program Settings\INSTALL\DATE]
   • "D7JI99UHS9"="%data actual%"

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {C0FCFCEB-CD91-8FAA-AFAD-4DED88DEDA79}]
   • "StubPath"="%HOME%\Application Data\update.exe"

– [HKCU\Software\VB and VBA Program Settings\SrvID\ID]
   • "D7JI99UHS9"="ircbot"

– [HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {C0FCFCEB-CD91-8FAA-AFAD-4DED88DEDA79}]
   • "StubPath"="%HOME%\Application Data\update.exe"

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção:   Obtém a pasta partilhada examinando as seguintes chaves de registo:
   • Software\Kazaa\LocalContent
   • Software\Microsoft\Windows\CurrentVersion\Uninstall\eMule


 Backdoor Contacta o servidor:
Seguinte:
   • captainowns.no-**********.org:3000 (TCP)


 Roubos de informação Tenta roubar a seguinte informação:

– As palavras-chave dos seguintes programas:
   • Internet Explorer
   • Mozilla Firefox
   • Valve Steam

– É iniciada uma rotina de logging depois de visitar um Web site:
   • https://onlineeast.bankofamerica.com

 Introdução de código viral noutros processos – Introduz uma rotina Backdoor num processo.

    Nome do processo:
   • explorer.exe


 Informações diversas Recursos de acesso à Internet:
   • http://api.ipinfodb.com/v2/**********?key


Mutex:
Cria os seguintes Mutexes:
   • D7JI99UHS9
   • D7JI99UHS9_pers

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quarta-feira, 15 de junho de 2011
Descrição atualizada por Petre Galan em quarta-feira, 15 de junho de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.