Spy-Agent.bw

Ariscam avaliação:

- usuario de casa: Low-Profiled

- usuarios incorporados: Low-Profiled

Data descoberta: 20/8/2007

Data da adição: 15/3/2007

Origem: N/A

Extensão: várias

Tipo: Trojan

Subtítulo: Win32

DAT solicitado: 4985

CARACTERÍSTICAS DO VÍRUS

A avaliação do risco desta ameaça foi atualizada para Low - Profiled devida atenção à mídia em: :
http://www.techworld.com/security/news/index.cfm?newsID=9833&pagtype=samechan

Um recente variante foi encontrada a roubar dados de recrutamento sítios quando o usuário estiver infectado.

Esta variante pode ser descoberta preventivamente como "New Win32.g2" usando os escâneres seguintes com heuristics habilitaram "GroupShield, Secure Internet Gateway (SIG), Secure Mail Gateway (SMG), Secure Web Gateway (SWG), TOPS Email, VirusScan Enterprise Email, VirusScan Email".

Em execução, cria os arquivos seguintes e pasta de arquivos:

* %Windir%\System32\wsnpoem\ (folder)

* %Windir%\System32\wsnpoem\audio.dll (data file)

* %Windir%\System32\wsnpoem\video.dll (data file)

* %Windir%\System32\ntos.exe (Spy-Agent.bw)

(Where% viking% é a pasta Windows; C: \ Windows)

As chaves de registro seguintes são modificadas ou adicionadas :

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\pathx =

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = %Windir%\System32\userinit %Windir%\System32\ntos.exe

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID =

O trojan injetam seu código malicioso ao processo seguinte:

* svchost.exe

* winlogon.exe

Segue uma variação particular de SPY-agente.bw podem anotar nos site da Web de recrutamento seguintes à procura de dados de currículo e informação pessoal e então os postar:

* recruiter.monster.com

* hiring.monster.com

Pode conectar para o local seguinte para comunicar dados roubados, ações de tronco e recebe ordens:

* http://195.189.{blocked}/mnstr/grabv2.php?getid=1

* http://195.189.{blocked}/spmv3.php?sendlog=

* http://195.189.{blocked}/mnstr/grabv2.php

* http://195.189.{blocked}/pmv3.php?sentmailz=

Envia e-mails de spam pelo servidor de SMTP seguinte:

*smtp.bizmail.yahoo.com

INDICADOR DE INFECÇÃO

* Presença de arquivo e chave de registro como previamente mencionado.

* Conexões de rede inesperadas para o local mencionado anteriormente.

METODO DE INFECÇÃO

Troiano não ego-reproduzem. Eles são espalhados manualmente, freqüentemente debaixo da premissa que o executável é algo benéfico.

Distribuído pelos canais inclusos IRC, peer-to-peer networks, newsgroup postings, email, etc.

Também foram conhecidas certas variantes conhecidas para ser instalado por façanhas de teia.

ORDENS DE REMOÇÃO

A usuários: Uso especificou máquina e arquivos de DAT para descoberta.

Modificações fizeram ao Registro de sistema e/ou arquivos de INI com a finalidade de enganchar iniciante de sistema, será removido prosperamente se limpando com a máquina atual e o DATs especificado (ou mais alto).

Máquinas mais velhas não podem talvez remover todas as chaves de registro criadas por esta ameaça.

Windows adicional ME / XP remoção de considerações.

ALIADO

Infostealer.Monstres (Symantec)

FONTE: McAfee software antivírus e segurança para o seu PC.

TRADUÇÃO: Babylon dicionários versão 7.