| Vírus | TR/Spy.Tofger.AT.07 |
| Data em que surgiu: | 20/07/2004 |
| Tipo: | Trojan |
| Incluído na lista "In The Wild" | Não |
| Nível de danos: | Baixo |
| Nível de distribuição: | Baixo |
| Nível de risco: | Médio |
| Ficheiro estático: | Sim |
| Tamanho: | 32.768 Bytes |
| MD5 checksum: | 3e52c1c440760115915d8befdac8fdb7 |
| Versão VDF: | 6.26.00.37 - Tue, 20 Jul 2004 16:11 (GMT+1) |
Meio de transmissão:
• Não tem rotinas de propagação
Alia-se:
• Kaspersky: Trojan-Spy.Win32.Tofger.at
• Sophos: Troj/Tofger-AA
• Bitdefender: Trojan.Spy.Tofger.AD
Sistemas Operativos:
• Windows 95, 98 SE, ME, NT, 2000, 2003, XP
Efeitos secundários:
• Descarrega um ficheiro
• Descarrega ficheiros maliciosos
• Guarda as teclas digitadas
• Altera o registro do Windows
• Informação de roubos
• Possibilita acesso não autorizado ao computador
Ficheiros
– %WINDIR%\sachost.exe
Além disso, executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Spy.Tofger.AT.07
– %SYSDIR%\sachosts.exe
Além disso, executa-se depois de gerado. Detectado como: TR/Spy.Tofger.AT.09
– %SYSDIR%\sachostc.exe
Além disso, executa-se depois de gerado. Detectado como: TR/Daemonize.T.3
– %WINDIR%\msrt32.dll
Além disso, executa-se depois de gerado. Detectado como: TR/Spy.Tofger.AT.06
– %WINDIR%\sysini.ini
Tenta efetuar o download do ficheiro a partir das seguintes localizações:
• http://pro**********.ws:8080/update01.exe
• http://pro**********.ws:8080/update01.exe
• http://uspro**********.ws:8080/update01.exe
Encontra-se no disco rígido: %SYSDIR%\surte.exe além disso executa-se depois do download estar completo. Ainda em fase de pesquisa.
Registo do Windows
É adicionado o seguinte valor ao registro do Windows de forma a que o processo seja executado depois do computador ser reiniciado:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Onlune Sarvice" = "%WINDIR%\sachost.exe"
É adicionada a seguinte chave de registro:
– [HKLM\SOFTWARE\Microsoft\Mserv]
• "IDwin" = "%números aleatórios entre 0 e 9%"
E-mail
Não tem a sua própria rotina de propagação, mas tem capacidade para enviar um e-mail. É provável que o destinatário seja o autor. As características são as seguintes:
• k**********er@li**********.ru
Backdoor
São abertas as seguintes portas:
– %WINDIR%\sachost.exe numa porta TCP 10002
Por forma a fornecer capacidades backdoor.
– %SYSDIR%\sachosts.exe
– %SYSDIR%\sachostc.exe
Contato com o servidor:
• http://pro**********.ws/tr/index.php
Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP GET através de scripts PHP.
Envia informação sobre:
• Endereço IP
• Porta aberta
Roubos de informação
– Palavras-chave digitadas em 'campos de entrada de palavras-chave'
– Informações da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts
Procura uma ligação de internet contatando o seguinte web site:
• www.linux.org
Detalhes do ficheiro
Linguagem de programação:
Ficheiro escrito em MS Visual C++.
Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• UPX
Nenhum comentário:
Postar um comentário