TR/Hijack.Explor.1 - Trojan

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	TR/Hijack.Explor.1
Data em que surgiu:	28/06/2006
Tipo:	Trojan
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	45.056 Bytes
MD5 checksum:	f508e5a83c339e32a4e0d1185873dea2
Versão VDF:	6.35.00.88
Versão IVDF:	6.35.00.99

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Kaspersky: Trojan-Proxy.Win32.Small.ez
   • TrendMicro: TROJ_SMALL.DEF
   • F-Secure: Trojan-Proxy.Win32.Small.ez
   • Grisoft: Proxy.FRE
   • Eset: Win32/Agent.PA

Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
• %SYSDIR%\svcroot.exe

Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "svcroot"="%SYSDIR%\scvroot.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "svcroot"="%SYSDIR%\svcroot.exe"

O seguinte valor do registo é alterado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   Valor recente:
   • "Shell"="Explorer.exe svcroot.exe"

Backdoor São abertas as seguintes portas:

– iexplore.exe numa porta TCP aleatória de forma a fornecer um servidor proxy Socks 4.
– iexplore.exe numa porta TCP 5050 Para fornecer acesso Shell remoto.

Contacta o servidor:
Seguinte:
   • http://www.site.ru/socks/**********

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP GET através de scripts PHP.

Envia informação sobre:
    • Nome do computador
    • Velocidade do CPU
    • Tempo de vida do malware
    • Porta aberta
    • Capacidade da memória
    • Nome de utilizador
    • Informação sobre o sistema operativo Windows

Introdução de código viral noutros processos – Introduz-se a si próprio num processo.

    Nome do processo:
   • iexplore.exe

   Se concluir com êxito, o processo de malware termina enquanto a parte injetada permanece ativa.

Tecnologia de Rootkit Oculta o seguinte:
– As suas próprias chaves de registo

Forma utilizada
• Esconde-se na API do Windows

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Veja aqui uma breve descrição.

Descrição adicionada por Adriana Popa em Wed, 25 Oct 2006 09:53 (GMT+1)
Descrição adicionada por Adriana Popa em Wed, 25 Oct 2006 12:17 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back