TR/Tcom.2 - Trojan

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	TR/Tcom.2
Data em que surgiu:	20/07/2005
Tipo:	Trojan
Subtipo:	Downloader
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Baixo
Ficheiro estático:	Sim
Tamanho:	26.624 Bytes
MD5 checksum:	8e3cf147f6d642b4e0808cec743d856e
Versão VDF:	6.31.0.234

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Symantec: Backdoor.Nibu.L
   • Mcafee: BackDoor-CCT
   • Kaspersky: Trojan-Spy.Win32.Agent.fe
   • TrendMicro: TROJ_DUMADOR.AV
   • VirusBuster: Backdoor.Dumador.BM

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Bloqueia o acesso a Web sites de segurança
   • Baixa as definições de segurança
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informação de roubos

Ficheiros Autocopia-se para a seguinte localização:
• %SYSDIR%\windldra.exe

Elimina o seguinte ficheiro:
• %WINDIR%\send_logs_trigger

São criados os seguintes ficheiros:

– %WINDIR%\netdx.dat O ficheiro serve para activar rotinas internas.
– %WINDIR%\dvpd.dll
– %WINDIR%\prntsvra.dll
– %WINDIR%\temp\fe43e701.htm O ficheiro contém informação das teclas pressionadas.
– %WINDIR%\prntc.log
– %WINDIR%\prntk.log

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\software\microsoft\windows\currentversion\run\]
   • "load32"="%SYSDIR%\winldra.exe"

São adicionadas as seguintes chaves ao registo:

– [HKCU\software\sars\]
   • "SocksPort"=dword:%uma série de caracteres aleatórios%

– [HKCU\software\microsoft\internet explorer\main\]
   • "AllowWindowReuse"=dword:00000000

Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso não haverá alterações.

– O acesso aos seguintes domínios é bloqueado:
   • www.trendmicro.com; trendmicro.com; rads.mcafee.com;
      customer.symantec.com; liveupdate.symantec.com; us.mcafee.com;
      updates.symantec.com; update.symantec.com; www.nai.com; nai.com;
      secure.nai.com; dispatch.mcafee.com; download.mcafee.com;
      www.my-etrust.com; my-etrust.com; mast.mcafee.com; ca.com; www.ca.com;
      networkassociates.com; www.networkassociates.com; avp.com;
      www.kaspersky.com; www.avp.com; kaspersky.com; www.f-secure.com;
      f-secure.com; viruslist.com; www.viruslist.com;
      liveupdate.symantecliveupdate.com; mcafee.com; www.mcafee.com;
      sophos.com; www.sophos.com; symantec.com;
      securityresponse.symantec.com; us.mcafee.com/root/; www.symantec.com

O ficheiro hospedeiro (alterado) terá a seguinte aparência:

Backdoor São abertas as seguintes portas:

– %ficheiro executado% numa porta TCP aleatória de forma a fornecer um servidor proxy.
– %ficheiro executado% numa porta TCP 9125 Por forma a fornecer capacidades backdoor.

Contacta o servidor:
Seguinte:
   • http://222.36.41.**********/system32/logger.php

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP GET através de scripts PHP.

Envia informação sobre:
    • Logfiles criados
    • Informações sobre a rede
    • Platform ID

Roubos de informação Tenta roubar a seguinte informação:

– As palavras-chave dos seguintes programas:
   • WebMoney
   • Far Manager
   • Total Commander
   • Outlook
   • Outlook Express

– É iniciada uma rotina de logging depois de visitar um dos seguintes Web sites, que contenha um dos seguintes textos no URL:
   • "gold"; "Storm"; "e-metal"; "Money"; "money"; "WM Keeper"; "Keeper";
      "Fethard"; "fethard"; "bull"; "Bull"; "mull"; "PayPal"; "Bank";
      "bank"; "cash"; "anz"; "ANZ"; "shop"; "Shop"; "..."; "ebay"; "invest";
      "casino"; "bookmak"; "pay"; "member"; "fund"; "Invest"; "Casino";
      "Bookmak"; "Pay"; "Member"; "Fund"; "bet"; "Bet"; "bill"; "Bill";
      "login"; "Login"

– Captura:
    • Teclar
    • Janela de informação
    • Janela do Browser
    • Informação de login

Introdução de código viral noutros processos – Introduz-se a si próprio num processo.

Nome do processo:
• Internet Explorer

Veja aqui uma breve descrição.

Descrição adicionada por Sergiu Oprea em Wed, 03 Aug 2005 11:04 (GMT+1)
Descrição adicionada por Oliver Auerbach em Tue, 18 Oct 2005 21:47 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back