Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusBDS/Agent.58368.3
Data em que surgiu:30/08/2012
Tipo:Servidor Backdoor
Includo na lista "In The Wild"No
Nvel de danos:Alto
Nvel de distribuio:Baixo
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:58.368 Bytes
MD5 checksum:3CCFB3CA8C0AAAA4E93856BC79570106
Verso VDF:7.11.41.90 - quinta-feira, 30 de agosto de 2012
Verso IVDF:7.11.41.90 - quinta-feira, 30 de agosto de 2012

 Vulgarmente Meio de transmisso:
   • E-mail


Alias:
     Microsoft: Win32/Gamarue.I


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efeitos secundrios:
   • Possibilita acesso no autorizado ao computador
   • Baixa as definies de segurana
   • Altera o registo do Windows

 Ficheiros Envia cpias de si mesmo usando um nome das listas seguintes:
Para: C:\Documents and Settings\All Users Usando um dos nomes seguintes:
   • svchost.exe

Para: %ALLUSERSPROFILE%\Local Settings\Temp Usando um dos nomes seguintes:
   • %uma srie de caracteres aleatrios%.bat
   • %uma srie de caracteres aleatrios%.pif
   • %uma srie de caracteres aleatrios%.scr
   • %uma srie de caracteres aleatrios%.com


 Registry (Registo do Windows) Para cada chave de registo adicionado um dos seguintes valores para executar os processos depois reinicializar:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdateSched"="%ALLUSERSPROFILE%\svchost.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%nmero% "="%ALLUSERSPROFILE%\Local Settings\Temp\%uma srie de caracteres aleatrios%.pif"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%nmero% "="%ALLUSERSPROFILE%\Local Settings\Temp\%uma srie de caracteres aleatrios%.bat"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%nmero% "="%ALLUSERSPROFILE%\Local Settings\Temp\%uma srie de caracteres aleatrios%.scr"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%nmero% "="%ALLUSERSPROFILE%\Local Settings\Temp\%uma srie de caracteres aleatrios%.com"

 E-mail No tem rotinas prprias de propagao mas enviado por email. Tem as seguintes caractersticas:


De:
O endereo do remetente falsificado.
O remetente do e-mail o seguinte:
   • notification+aaic-mm-nir_@facebookmail.com


Assunto:
O seguinte:
   • Your friend wants to share photos and updates with you



Corpo:
– Contm cdigo HTML.
O corpo do email o seguinte:

   • One of your friends wants to share photos and updates with you.
     
     One of your friends has invited you to Facebook. After you sign up, you'll be able to stay connected with friends by sharing photos and videos, posting status updates, sending messages and more.


Atalho:
O ficheiro de atalho tem o seguinte nome:
   • Your_Friend_New_photos-updates_id%nmero% .zip

O ficheiro de atalho contm uma cpia do prprio malware.



O email pode ser parecido com o seguinte:


 Backdoor  aberta a seguinte porta:

%ALLUSERSPROFILE%\svchost.exe numa porta TCP 8000 Para fornecer acesso Shell remoto.


Contacta o servidor:
Seguinte:
   • http://stripe**********image.php

Depois de ligado obtm uma lista adicional de servidores.
Como resultado pode enviar informao poderiam e dar capacidade de controlo remoto.

Envia informao sobre:
     Situao actual de malware
     Nome de utilizador

 Introduo de cdigo viral noutros processos – Introduz-se a si prprio num processo.

    Nome do processo:
   • %SYSDIR%\wuauclt.exe


 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Criptografia:
Criptografado - O cdigo do vrus est criptografado no arquivo.

Descrição enviada por Ana Maria Niculescu em quinta-feira, 30 de agosto de 2012
Descrição atualizada por Andrei Gherman em quinta-feira, 30 de agosto de 2012

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.