Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/Matsnu.A.75
Data em que surgiu:26/08/2012
Tipo:Trojan
Includo na lista "In The Wild"No
Nvel de danos:De mdio a elevado
Nvel de distribuio:Baixo
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:65.536 Bytes
MD5 checksum:B80FCBA4B91876363A2977DAA472A143
Verso VDF:7.11.40.252 - domingo, 26 de agosto de 2012
Verso IVDF:7.11.40.252 - domingo, 26 de agosto de 2012

 Vulgarmente Meio de transmisso:
   • E-mail


Alias:
   •  Kaspersky: Trojan.Win32.Agentb.adm
   •  Bitdefender: Trojan.Generic.KDV.708823
   •  Eset: Win32/Trustezeb.C
     DrWeb: Trojan.DownLoader6.48319


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Depois de executado visualizada a seguinte informao:


 Ficheiros Autocopia-se para as seguintes localizaes
   • %TEMPDIR%\%uma srie de caracteres aleatrios%.pre
   • %APPDATA%\%uma srie de caracteres aleatrios%\%uma srie de caracteres aleatrios%.exe



Apaga a cpia executada inicialmente.

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%uma srie de caracteres aleatrios%"="%APPDATA%\%uma srie de caracteres aleatrios%\%uma srie de caracteres aleatrios%.exe"

 E-mail No tem rotinas prprias de propagao mas enviado por email. Tem as seguintes caractersticas:


Formato do email:



Assunto: Zweite Abmahnung %data actual%
Body:
   • Guten Tag %email de utilizador%,
     
     in unserem Brief vom %date% wurden Sie bereits gemahnt, weil die nicht bezahlte Forderung von 9895,39 Euro von Ihnen noch nicht bezahlt wurde.
     Wir fordern Sie erneut, Ihrer nicht beglichene Forderung zu begleichen.
     
     Wir mssen Ihnen die Kosten von 14,00 Euro darber hinaus zu der noch offenen Forderung als Mahngebhr in Rechnung stellen.
     Wir bitten Sie, den offenen Betrag bis zum %data actual% auf das angegebene Konto zu bersenden.
     
     berweisungsschein und Artikel Liste sind in dem angefgten Schreiben.
     
     Mit besten Gren
     
     LorenzShop GmbH Keiserslauter
     (Mo-Fr 9.00 bis 18.00 Uhr, Sa 9.00 bis 16.00 Uhr)
     Leiter: Timm Friedrich
     Steuer-Nummer: DE303736944
     
Atalho:
   • Abmahnung %email de utilizador%.zip

O ficheiro de atalho contm uma cpia do prprio malware.

 Backdoor Contacta o servidor:
Seguinte:
   • http://seneesamj.com/ld/a.**********

Como resultado pode enviar informao poderiam e dar capacidade de controlo remoto.

Capacidades de controlo remoto:
     Download de ficheiros

 Introduo de cdigo viral noutros processos – Introduz-se a si prprio num processo.

    Todos os processos que se seguem:
   • %WINDIR%\explorer.exe
   • %SYSDIR%\svchost.exe
   • %SYSDIR%\ctfmon.exe


 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em Borland C++.

Descrição enviada por Tudor Ciochina em quarta-feira, 29 de agosto de 2012
Descrição atualizada por Tudor Ciochina em quinta-feira, 30 de agosto de 2012

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.