TR/Lager.AD.2 - Trojan

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	TR/Lager.AD.2
Data em que surgiu:	02/03/2006
Tipo:	Trojan
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	49.697 Bytes
MD5 checksum:	f18ee93553c7ca4b51e015cbe337879d
Versão VDF:	6.33.01.34

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Symantec: Trojan.Abwiz
   • Mcafee: Downloader-ASH
   • Kaspersky: Packed.Win32.Tibs
   • TrendMicro: TROJ_ABWIZ.T

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
• %SYSDIR%\taskdir.exe

São criados os seguintes ficheiros:

– %SYSDIR%\comdlj32.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/RKit.Agent.BK

– %SYSDIR%\zlbw.dll

Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
• http://216.255.179.235/**********
Encontra-se no disco rígido: %SYSDIR%\~update.exe Há uma nova versão do próprio malware.

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "taskdir"="%SYSDIR%\taskdir.exe"

É adicionada a seguinte chave de registo:

– [HKEY_CURRENT_USER]
   • "ColorTable19"=dword:%número hexadecimal%
   • "ColorTable19"=dword:%número hexadecimal%

Backdoor Contacta o servidor:
Um dos seguintes:
   • http://216.255.179.235/new/cntr/**********
   • http://216.255.179.235/new/cls/**********
   • http://69.50.171.172/n/**********
   • http://69.50.161.106/n/**********
   • http://69.50.184.194/n/**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Isto é feito pelos métodos HTTP GET e POOS usando scripts PHP.
A resposta do servidors é escrita no ficheiro: %SYSDIR%\log.txt

Envia informação sobre:
    • Nome do computador
    • Situação actual de malware

Capacidades de controlo remoto:
    • Download de ficheiros
    • Envia emails

Introdução de código viral noutros processos – Introduz o seguinte ficheiro num processo: comdlj32.dll

Nome do processo:
• %todos os processo em execução%

Informações diversas Mutex:
Cria o seguinte Mutex:
• _alanchum

Tecnologia de Rootkit Oculta o seguinte:
– O seu próprio processo

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• UPX

Veja aqui uma breve descrição.

Descrição adicionada por Iulia Diaconescu em Fri, 03 Mar 2006 11:29 (GMT+1)
Descrição adicionada por Iulia Diaconescu em Mon, 27 Mar 2006 09:15 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back