TR/Lager.U.1 - Trojan

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	TR/Lager.U.1
Data em que surgiu:	14/02/2006
Tipo:	Trojan
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	De baixo a médio
Ficheiro estático:	Sim
Tamanho:	48.164 Bytes
MD5 checksum:	044650cf2d2b490699df8259c22f50b8
Versão VDF:	6.33.00.225

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Kaspersky: Trojan-Proxy.Win32.Lager.ah
   • TrendMicro: TROJ_GALAPOPER.T
   • VirusBuster: virus Trojan.PR.Lager.Y
   • Bitdefender: Trojan.Spy.Agent.CN

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros
   • Altera o registo do Windows

Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\symsvcsa.exe

São criados os seguintes ficheiros:

– Ficheiro não malicioso:
   • %SYSDIR%\zlbw.dll

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %SYSDIR%\log.txt

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "aupd" = "%SYSDIR%\symsvcsa.exe"

São adicionadas as seguintes chaves ao registo:

– [HKEY_CURRENT_USER]
   • "ColorTable19"=dword:%número hexadecimal%
   • "ColorTable20"=dword:%número hexadecimal%

Backdoor Contacta o servidor:
Seguintes:
   • 216.255.179.234/new/cntr/**********
   • 69.50.171.172/**********
   • 69.50.161.106/**********
   • 216.255.179.235/new/cls/**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Isto é feito pelos métodos HTTP GET e POOS usando scripts PHP.

Envia informação sobre:
    • Nome do computador
    • Situação actual de malware

Capacidades de controlo remoto:
    • Download de ficheiros

Informações diversas Mutex:
Cria o seguinte Mutex:
• _alanchum

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Veja aqui uma breve descrição.

Descrição adicionada por Daniel Constantin em Fri, 17 Feb 2006 16:04 (GMT+1)
Descrição adicionada por Daniel Constantin em Mon, 20 Feb 2006 14:00 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back