Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Agent.270336
Data em que surgiu:14/07/2006
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:266.752 Bytes
MD5 checksum:3cd19c2520fa9a8682b81a13a04eba86
Versão VDF:6.35.00.165
Versão IVDF:6.35.00.204 - segunda-feira, 24 de julho de 2006

 Vulgarmente Meios de transmissão:
   • Recurso de execução automática
   • Messenger


Alias:
   •  Kaspersky: Trojan.Win32.VBKrypt.dacu
   •  Bitdefender: Trojan.Generic.KDV.226302
   •  GData: Trojan.Generic.KDV.226302


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Possibilita acesso não autorizado ao computador
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para as seguintes localizações
   • %HOME%\Application Data\Nazkzx.exe
   • %unidade%\RECYCLER\Nazkzx.exe



Apaga a cópia executada inicialmente.



É criado o seguinte ficheiro:

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %HOME%\Application Data\Nazkzx.exe

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Nazkzx"="%HOME%\Application Data\Nazkzx.exe"

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– Windows Messenger

O URL aponta para uma cópia do malware descrito. Se o utilizador descarregar e executar este ficheiro terá início o processo de infecção do seu computador.

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: server.act**********.com
Porta: 1038
Canal #start
Nickname: n{EN|XPa}%uma série de caracteres aleatórios%

 Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave digitadas em 'campos de entrada de palavras-chave'

– É iniciada uma rotina de logging depois de visitar um dos seguintes Web sites, que contenha um dos seguintes textos no URL:
   • *officebanking.cl/*login.asp*; *secure.logmein.*/*logincheck*;
      *megaupload.*/*login; *fileserve.*/login*; *twitter.com/sessions;
      *.alertpay.*/*login.aspx; *.moneybookers.*/*login.pl;
      *runescape*/*weblogin*; *dyndns*/account*; *no-ip*/login*;
      *steampowered*/login*; *hackforums.*/member.php;
      *facebook.*/login.php*; *login.yahoo.*/*login*;
      *login.live.*/*post.srf*; *gmx.*/*FormLogin*; *fastmail.*/mail/*;
      *bigstring.*/*index.php*; *screenname.aol.*/login.psp*;
      *aol.*/*login.psp*; *google.*/*ServiceLoginAuth*;
      *paypal.*/webscr?cmd=_login-submit*

 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa remota num processo.

É injetado em todos os processos.


 Informações diversas Recursos de acesso à Internet:
   • http://api.wip**********.com/


Mutex:
Cria o seguinte Mutex:
   • fgeZ0Yo8573aR2XE

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em terça-feira, 5 de julho de 2011
Descrição atualizada por Petre Galan em terça-feira, 5 de julho de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.