Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusBDS/Androm.GX
Data em que surgiu:27/08/2012
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Não
Nível de danos:Alto
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:88.064 Bytes
MD5 checksum:34F2EF9D9E779A7D71D1999107FC845C
Versão VDF:7.11.41.18 - segunda-feira, 27 de agosto de 2012
Versão IVDF:7.11.41.18 - segunda-feira, 27 de agosto de 2012

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Backdoor.Win32.Androm.gr
   •  Eset: Win32/Kryptik.AKXZ
   •  DrWeb: BackDoor.Andromeda.22


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7

 Ficheiros Envia uma cópia de si mesmo usando um nome seguinte lista:
– Para: C:\Documents and Settings\All Users Usando um dos nomes seguintes:
   • svchost.exe

– Para: %ALLUSERSPROFILE%\Local Settings\Temp Usando um dos nomes seguintes:
   • %uma série de caracteres aleatórios%.bat
   • %uma série de caracteres aleatórios%.pif
   • %uma série de caracteres aleatórios%.scr
   • %uma série de caracteres aleatórios%.com


 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdateSched"="%ALLUSERSPROFILE%\svchost.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%número% "="%ALLUSERSPROFILE%\Local Settings\Temp\%uma série de caracteres aleatórios%.pif"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%número% "="%ALLUSERSPROFILE%\Local Settings\Temp\%uma série de caracteres aleatórios%.bat"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%número% "="%ALLUSERSPROFILE%\Local Settings\Temp\%uma série de caracteres aleatórios%.scr"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%número% "="%ALLUSERSPROFILE%\Local Settings\Temp\%uma série de caracteres aleatórios%.com"

 E-mail Não tem rotinas próprias de propagação mas é enviado por email. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Formato do email:



De: auto-confirm@amazon.com
Assunto: Your Order with Amazon.com
Body:
   • Want to manage your order online?
     If you need to check the status of your order or make changes, please visit our home page at Amazon.com and click on Your Account at the top of any page.
     
     Order Grand Total: $86.76
     
     ***********************************************************************************
     PLEASE VIEW ATTACHED FILE FOR BILLING AND SHIPPING INFORMATION AND ORDER DETAILS
     ***********************************************************************************
     
     Get the Amazon.com Rewards Visa Card and earn 3% rewards on your Amazon.com orders. Click http://www.amazon.com/InstantRewards for more information.
     
     ***********************************************************
     Need to give a gift? Not sure what to buy?
     Amazon.com gift certificates/cards are available in any dollar amount from $5 to $5,000.
     We'll deliver it via e-mail--it's the perfect last-minute gift.
     Learn more at http://www.amazon.com/gift-certificates
     ***********************************************************
     Need to print an invoice?
     Visit www.amazon.com/your-account and click to view your orders. Click "View order" next to the appropriate order. You'll find a button to print an invoice on the next page
     ***********************************************************
     Got questions? We've got answers. Visit our online Help department, available 24 hours a day: http://www.amazon.com/help
     
     ***********************************************************
     Please note: This e-mail message was sent from a notification-only address that cannot accept incoming e-mail. Please do not reply to this message.
     
     If you ever need to return an order, visit our Online Returns Center: www.amazon.com/returns
     
     Thanks again for shopping with us.
     -------------------------------------------------------------
     Amazon.com
     Earth's Biggest Selection
     http://www.amazon.com
     -------------------------------------------------------------
Atalho:
   • Amazon-Order-Details-REF9768012.zip

O ficheiro de atalho contém uma cópia do próprio malware.

 Backdoor É aberta a seguinte porta:

– %ALLUSERSPROFILE%\svchost.exe numa porta TCP 8000 Para fornecer acesso Shell remoto.


Contacta o servidor:
Seguinte:
   • http://stripe**********image.php

Depois de ligado obtém uma lista adicional de servidores.
Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.

 Introdução de código viral noutros processos – Introduz-se a si próprio num processo.

    Nome do processo:
   • %SYSDIR%\wuauclt.exe


Descrição enviada por Tudor Ciochina em terça-feira, 28 de agosto de 2012
Descrição atualizada por Tudor Ciochina em quarta-feira, 29 de agosto de 2012

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.