Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusBDS/Androm.GX
Data em que surgiu:27/08/2012
Tipo:Servidor Backdoor
Includo na lista "In The Wild"No
Nvel de danos:Alto
Nvel de distribuio:Baixo
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:88.064 Bytes
MD5 checksum:34F2EF9D9E779A7D71D1999107FC845C
Verso VDF:7.11.41.18 - segunda-feira, 27 de agosto de 2012
Verso IVDF:7.11.41.18 - segunda-feira, 27 de agosto de 2012

 Vulgarmente Meio de transmisso:
   • No tem rotinas de propagao


Alias:
   •  Kaspersky: Backdoor.Win32.Androm.gr
   •  Eset: Win32/Kryptik.AKXZ
     DrWeb: BackDoor.Andromeda.22


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7

 Ficheiros Envia uma cpia de si mesmo usando um nome seguinte lista:
Para: C:\Documents and Settings\All Users Usando um dos nomes seguintes:
   • svchost.exe

Para: %ALLUSERSPROFILE%\Local Settings\Temp Usando um dos nomes seguintes:
   • %uma srie de caracteres aleatrios%.bat
   • %uma srie de caracteres aleatrios%.pif
   • %uma srie de caracteres aleatrios%.scr
   • %uma srie de caracteres aleatrios%.com


 Registry (Registo do Windows) Um dos seguintes valores adicionado para executar o processo depois reinicializar:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdateSched"="%ALLUSERSPROFILE%\svchost.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%nmero% "="%ALLUSERSPROFILE%\Local Settings\Temp\%uma srie de caracteres aleatrios%.pif"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%nmero% "="%ALLUSERSPROFILE%\Local Settings\Temp\%uma srie de caracteres aleatrios%.bat"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%nmero% "="%ALLUSERSPROFILE%\Local Settings\Temp\%uma srie de caracteres aleatrios%.scr"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%nmero% "="%ALLUSERSPROFILE%\Local Settings\Temp\%uma srie de caracteres aleatrios%.com"

 E-mail No tem rotinas prprias de propagao mas enviado por email. Tem as seguintes caractersticas:


De:
O endereo do remetente falsificado.


Formato do email:



De: auto-confirm@amazon.com
Assunto: Your Order with Amazon.com
Body:
   • Want to manage your order online?
     If you need to check the status of your order or make changes, please visit our home page at Amazon.com and click on Your Account at the top of any page.
     
     Order Grand Total: $86.76
     
     ***********************************************************************************
     PLEASE VIEW ATTACHED FILE FOR BILLING AND SHIPPING INFORMATION AND ORDER DETAILS
     ***********************************************************************************
     
     Get the Amazon.com Rewards Visa Card and earn 3% rewards on your Amazon.com orders. Click http://www.amazon.com/InstantRewards for more information.
     
     ***********************************************************
     Need to give a gift? Not sure what to buy?
     Amazon.com gift certificates/cards are available in any dollar amount from $5 to $5,000.
     We'll deliver it via e-mail--it's the perfect last-minute gift.
     Learn more at http://www.amazon.com/gift-certificates
     ***********************************************************
     Need to print an invoice?
     Visit www.amazon.com/your-account and click to view your orders. Click "View order" next to the appropriate order. You'll find a button to print an invoice on the next page
     ***********************************************************
     Got questions? We've got answers. Visit our online Help department, available 24 hours a day: http://www.amazon.com/help
     
     ***********************************************************
     Please note: This e-mail message was sent from a notification-only address that cannot accept incoming e-mail. Please do not reply to this message.
     
     If you ever need to return an order, visit our Online Returns Center: www.amazon.com/returns
     
     Thanks again for shopping with us.
     -------------------------------------------------------------
     Amazon.com
     Earth's Biggest Selection
     http://www.amazon.com
     -------------------------------------------------------------
Atalho:
   • Amazon-Order-Details-REF9768012.zip

O ficheiro de atalho contm uma cpia do prprio malware.

 Backdoor  aberta a seguinte porta:

%ALLUSERSPROFILE%\svchost.exe numa porta TCP 8000 Para fornecer acesso Shell remoto.


Contacta o servidor:
Seguinte:
   • http://stripe**********image.php

Depois de ligado obtm uma lista adicional de servidores.
Como resultado pode enviar informao poderiam e dar capacidade de controlo remoto.

 Introduo de cdigo viral noutros processos – Introduz-se a si prprio num processo.

    Nome do processo:
   • %SYSDIR%\wuauclt.exe


Descrição enviada por Tudor Ciochina em terça-feira, 28 de agosto de 2012
Descrição atualizada por Tudor Ciochina em quarta-feira, 29 de agosto de 2012

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.