TR/Copiet.B.1 - Trojan

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	TR/Copiet.B.1
Data em que surgiu:	21/06/2005
Tipo:	Trojan
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	De baixo a médio
Ficheiro estático:	Sim
Tamanho:	20.992 Bytes
MD5 checksum:	b58eee5222843a98a2914904582bfcd8
Versão VDF:	6.31.00.86

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Kaspersky: Trojan.Win32.StartPage.aak
   • Bitdefender: Trojan.Delf.AP

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows

Ficheiros São criados os seguintes ficheiros:

– %PROGRAM FILES%\Common Files\Microsoft Shared\MSSearch\Bin\MsInfo.Dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware.
– %PROGRAM FILES%\Common Files\Microsoft Shared\MSSearch\Bin\MsInfo.Tmp Outras investigações apontam para que este ficheiro, também, seja malware.

Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
• v4.okunion.com/**********
Encontra-se no disco rígido: %SYSDIR%\Media1.inf Ainda em fase de pesquisa.

– A partir da seguinte localização:
• v4.okunion.com/**********
Encontra-se no disco rígido: %SYSDIR%\Media2.inf Ainda em fase de pesquisa.

Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{B48F6409-4740-475B-A474-651F54CCE460}" = ""

– [HKCR\CLSID\{B48F6409-4740-475B-A474-651F54CCE460}\InProcServer32]
   • "ThreadingModel" = "Apartment"
   • "@" = "%PROGRAM FILES%\Common Files\Microsoft Shared\MSSearch\Bin\MsInfo.Dll"

Detalhes do ficheiro Linguagem de programação:
Ficheiro escrito em Delphi.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• UPX

Veja aqui uma breve descrição.

Descrição adicionada por Daniel Constantin em Tue, 14 Mar 2006 14:05 (GMT+1)
Descrição adicionada por Daniel Constantin em Thu, 23 Mar 2006 13:52 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back