Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Matsnu.A.75
Data em que surgiu:26/08/2012
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:De médio a elevado
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:65.536 Bytes
MD5 checksum:B80FCBA4B91876363A2977DAA472A143
Versão VDF:7.11.40.252 - domingo, 26 de agosto de 2012
Versão IVDF:7.11.40.252 - domingo, 26 de agosto de 2012

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Kaspersky: Trojan.Win32.Agentb.adm
   •  Bitdefender: Trojan.Generic.KDV.708823
   •  Eset: Win32/Trustezeb.C
   •  DrWeb: Trojan.DownLoader6.48319


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Depois de executado é visualizada a seguinte informação:


 Ficheiros Autocopia-se para as seguintes localizações
   • %TEMPDIR%\%uma série de caracteres aleatórios%.pre
   • %APPDATA%\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.exe



Apaga a cópia executada inicialmente.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%uma série de caracteres aleatórios%"="%APPDATA%\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.exe"

 E-mail Não tem rotinas próprias de propagação mas é enviado por email. Tem as seguintes características:


Formato do email:



Assunto: Zweite Abmahnung %data actual%
Body:
   • Guten Tag %email de utilizador%,
     
     in unserem Brief vom %date% wurden Sie bereits gemahnt, weil die nicht bezahlte Forderung von 9895,39 Euro von Ihnen noch nicht bezahlt wurde.
     Wir fordern Sie erneut, Ihrer nicht beglichene Forderung zu begleichen.
     
     Wir müssen Ihnen die Kosten von 14,00 Euro darüber hinaus zu der noch offenen Forderung als Mahngebühr in Rechnung stellen.
     Wir bitten Sie, den offenen Betrag bis zum %data actual% auf das angegebene Konto zu übersenden.
     
     Überweisungsschein und Artikel Liste sind in dem angefügten Schreiben.
     
     Mit besten Grüßen
     
     LorenzShop GmbH Keiserslauter
     (Mo-Fr 9.00 bis 18.00 Uhr, Sa 9.00 bis 16.00 Uhr)
     Leiter: Timm Friedrich
     Steuer-Nummer: DE303736944
     
Atalho:
   • Abmahnung %email de utilizador%.zip

O ficheiro de atalho contém uma cópia do próprio malware.

 Backdoor Contacta o servidor:
Seguinte:
   • http://seneesamj.com/ld/a.**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.

Capacidades de controlo remoto:
    • Download de ficheiros

 Introdução de código viral noutros processos – Introduz-se a si próprio num processo.

    Todos os processos que se seguem:
   • %WINDIR%\explorer.exe
   • %SYSDIR%\svchost.exe
   • %SYSDIR%\ctfmon.exe


 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Borland C++.

Descrição enviada por Tudor Ciochina em quarta-feira, 29 de agosto de 2012
Descrição atualizada por Tudor Ciochina em quinta-feira, 30 de agosto de 2012

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.