Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/Agent.270336
Data em que surgiu:14/07/2006
Tipo:Trojan
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:De baixo a mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:266.752 Bytes
MD5 checksum:3cd19c2520fa9a8682b81a13a04eba86
Verso VDF:6.35.00.165
Verso IVDF:6.35.00.204 - segunda-feira, 24 de julho de 2006

 Vulgarmente Meios de transmisso:
    Recurso de execuo automtica
    Messenger


Alias:
   •  Kaspersky: Trojan.Win32.VBKrypt.dacu
   •  Bitdefender: Trojan.Generic.KDV.226302
     GData: Trojan.Generic.KDV.226302


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Possibilita acesso no autorizado ao computador
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Informao de roubos

 Ficheiros Autocopia-se para as seguintes localizaes
   • %HOME%\Application Data\Nazkzx.exe
   • %unidade%\RECYCLER\Nazkzx.exe



Apaga a cpia executada inicialmente.



criado o seguinte ficheiro:

%unidade%\autorun.inf um ficheiro de texto no malicioso com o seguinte contedo:
   • %cdigo que executa malware%




Tenta executar o seguinte ficheiro:

Executa um dos seguintes ficheiros:
   • %HOME%\Application Data\Nazkzx.exe

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Nazkzx"="%HOME%\Application Data\Nazkzx.exe"

 Messenger Propaga-se atravs do Messenger. Tem as seguintes caractersticas:

 Windows Messenger

O URL aponta para uma cpia do malware descrito. Se o utilizador descarregar e executar este ficheiro ter incio o processo de infeco do seu computador.

 IRC Para enviar informaes do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: server.act**********.com
Porta: 1038
Canal #start
Nickname: n{EN|XPa}%uma srie de caracteres aleatrios%

 Roubos de informao Tenta roubar a seguinte informao:
 Palavras-chave digitadas em 'campos de entrada de palavras-chave'

iniciada uma rotina de logging depois de visitar um dos seguintes Web sites, que contenha um dos seguintes textos no URL:
   • *officebanking.cl/*login.asp*; *secure.logmein.*/*logincheck*;
      *megaupload.*/*login; *fileserve.*/login*; *twitter.com/sessions;
      *.alertpay.*/*login.aspx; *.moneybookers.*/*login.pl;
      *runescape*/*weblogin*; *dyndns*/account*; *no-ip*/login*;
      *steampowered*/login*; *hackforums.*/member.php;
      *facebook.*/login.php*; *login.yahoo.*/*login*;
      *login.live.*/*post.srf*; *gmx.*/*FormLogin*; *fastmail.*/mail/*;
      *bigstring.*/*index.php*; *screenname.aol.*/login.psp*;
      *aol.*/*login.psp*; *google.*/*ServiceLoginAuth*;
      *paypal.*/webscr?cmd=_login-submit*

 Introduo de cdigo viral noutros processos Introduz-se a si prprio como uma tarefa remota num processo.

injetado em todos os processos.


 Informaes diversas Recursos de acesso Internet:
   • http://api.wip**********.com/


Mutex:
Cria o seguinte Mutex:
   • fgeZ0Yo8573aR2XE

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em terça-feira, 5 de julho de 2011
Descrição atualizada por Petre Galan em terça-feira, 5 de julho de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.