Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusBDS/Agent.58368.3
Data em que surgiu:30/08/2012
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Não
Nível de danos:Alto
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:58.368 Bytes
MD5 checksum:3CCFB3CA8C0AAAA4E93856BC79570106
Versão VDF:7.11.41.90 - quinta-feira, 30 de agosto de 2012
Versão IVDF:7.11.41.90 - quinta-feira, 30 de agosto de 2012

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Microsoft: Win32/Gamarue.I


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efeitos secundários:
   • Possibilita acesso não autorizado ao computador
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Envia cópias de si mesmo usando um nome das listas seguintes:
– Para: C:\Documents and Settings\All Users Usando um dos nomes seguintes:
   • svchost.exe

– Para: %ALLUSERSPROFILE%\Local Settings\Temp Usando um dos nomes seguintes:
   • %uma série de caracteres aleatórios%.bat
   • %uma série de caracteres aleatórios%.pif
   • %uma série de caracteres aleatórios%.scr
   • %uma série de caracteres aleatórios%.com


 Registry (Registo do Windows) Para cada chave de registo é adicionado um dos seguintes valores para executar os processos depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdateSched"="%ALLUSERSPROFILE%\svchost.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%número% "="%ALLUSERSPROFILE%\Local Settings\Temp\%uma série de caracteres aleatórios%.pif"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%número% "="%ALLUSERSPROFILE%\Local Settings\Temp\%uma série de caracteres aleatórios%.bat"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%número% "="%ALLUSERSPROFILE%\Local Settings\Temp\%uma série de caracteres aleatórios%.scr"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%número% "="%ALLUSERSPROFILE%\Local Settings\Temp\%uma série de caracteres aleatórios%.com"

 E-mail Não tem rotinas próprias de propagação mas é enviado por email. Tem as seguintes características:


De:
O endereço do remetente é falsificado.
O remetente do e-mail é o seguinte:
   • notification+aaic-mm-nir_@facebookmail.com


Assunto:
O seguinte:
   • Your friend wants to share photos and updates with you



Corpo:
– Contém código HTML.
O corpo do email é o seguinte:

   • One of your friends wants to share photos and updates with you.
     
     One of your friends has invited you to Facebook. After you sign up, you'll be able to stay connected with friends by sharing photos and videos, posting status updates, sending messages and more.


Atalho:
O ficheiro de atalho tem o seguinte nome:
   • Your_Friend_New_photos-updates_id%número% .zip

O ficheiro de atalho contém uma cópia do próprio malware.



O email pode ser parecido com o seguinte:


 Backdoor É aberta a seguinte porta:

– %ALLUSERSPROFILE%\svchost.exe numa porta TCP 8000 Para fornecer acesso Shell remoto.


Contacta o servidor:
Seguinte:
   • http://stripe**********image.php

Depois de ligado obtém uma lista adicional de servidores.
Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.

Envia informação sobre:
    • Situação actual de malware
    • Nome de utilizador

 Introdução de código viral noutros processos – Introduz-se a si próprio num processo.

    Nome do processo:
   • %SYSDIR%\wuauclt.exe


 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Criptografia:
Criptografado - O código do vírus está criptografado no arquivo.

Descrição enviada por Ana Maria Niculescu em quinta-feira, 30 de agosto de 2012
Descrição atualizada por Andrei Gherman em quinta-feira, 30 de agosto de 2012

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.