TR/PSW.Papras.JN - Trojan

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	TR/PSW.Papras.JN
Data em que surgiu:	27/03/2009
Tipo:	Trojan
Incluído na lista "In The Wild"	Sim
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	De baixo a médio
Ficheiro estático:	Sim
Tamanho:	66.048 Bytes
MD5 checksum:	8c00c01185fd4cb20d8a91b307e7e39f
Versão IVDF:	7.01.02.228

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Symantec: Infostealer.Snifula.C
   • Kaspersky: Trojan-PSW.Win32.Papras.jn
   • F-Secure: Trojan-PSW.Win32.Papras.jn
   • Sophos: Troj/Zbot-BS
   • Eset: Win32/PSW.Papras trojan
   • Bitdefender: Trojan.Inject.UD

Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega um ficheiro
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows
   • Informação de roubos

Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\9129837.exe

Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %WINDIR%\new_drv.sys
Esconde processos no Gestor de Tarefas. Detectado como: TR/Rootkit.Gen

– Executa um dos seguintes ficheiros:
   • %directório de execução do malware%\abcdefg.bat
Este ficheiro de processamento em lote é usado para apagar um ficheiro.

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\\9129837.exe"

É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=dword:%valores hex%
   • "k2"=dword:%valores hex%
   • "version"="5"

Backdoor É aberta a seguinte porta:
numa porta TCP aleatória Por forma a fornecer capacidades backdoor.

Contacta o servidor:
Seguinte:
   • http://91.207.61.**********/cgi-bin/cmd.cgi?user_id=%número% &version_id=5&passphrase=%uma série de caracteres aleatórios%&socks=%porta aberta%&version=&crc=00000000

Como resultado é dada capacidade de controlo remoto.

Envia informação sobre:
    • Hardware
    • Porta aberta

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Delphi.

Veja aqui uma breve descrição.

Descrição adicionada por Andreas Feuerstein em Wed, 08 Apr 2009 12:36 (GMT+1)
Descrição adicionada por Andreas Feuerstein em Wed, 08 Apr 2009 13:28 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back