Classe principal: TrojWare
Os cavalos de Tróia são programas mal-intencionados que executam ações que não são autorizadas pelo usuário: eles excluem, bloqueiam, modificam ou copiam dados e interrompem o desempenho de computadores ou redes de computadores. Ao contrário dos vírus e worms, as ameaças que se enquadram nessa categoria não conseguem fazer cópias de si mesmas ou se auto-replicar. Os cavalos de Tróia são classificados de acordo com o tipo de ação que executam em um computador infectado.Classe: Trojan-Banker
Os programas do Trojan-Banker são projetados para roubar dados de contas de usuários relacionados a sistemas bancários on-line, sistemas de pagamento eletrônico e sistemas de cartões plásticos. Os dados são então transmitidos ao usuário mal-intencionado que controla o Trojan. E-mail, FTP, a web (incluindo dados em uma solicitação) ou outros métodos podem ser usados para transitar os dados roubados.Plataforma: Win32
O Win32 é uma API em sistemas operacionais baseados no Windows NT (Windows XP, Windows 7, etc.) que oferece suporte à execução de aplicativos de 32 bits. Uma das plataformas de programação mais difundidas do mundo.Descrição
Detalhes técnicos
É um inofensivo vírus Win32 parasítico não-residente. Ele procura por arquivos executáveis PE do Windows32 no diretório atual e os infecta. O vírus funciona no Windows 95/98 e no Windows NT.
Quando um programa infectado é executado, o vírus recebe controle e procura endereços da API do Windows32. Primeiramente, ele verifica o código KERNEL e procura pelo endereço da função GetProcAddress. Quando esta função está localizada, o vírus usando esse endereço obtém ponteiros para nove outras funções:
CreateFileA, CreateFileMappingA, MapViewOfFile, CloseHandle,FindFirstFileA, FindNextFileA, FindClose, UnmapViewOfFile, SetEndOfFileAo usar essas chamadas, o vírus procura arquivos e os infecta. Enquanto infecção, o vírus incorpora seu código no meio do arquivo ao final da primeira seção. O vírus procura lacunas na imagem virtual do arquivo: se houver espaço livre suficiente entre a primeira e a segunda seção na imagem virtual (endereços na memória, não no arquivo de disco - o vírus evita seções sobrepostas ao carregar o arquivo na memória) o vírus desloca o restante do arquivo em 1024 bytes, grava seu código nessa cavidade, modifica o endereço do ponto de entrada e corrige cabeçalhos de seção.
O vírus tem um bug que causa infecção dupla. Apesar disso, os arquivos infectados funcionam sem nenhum problema.
O vírus contém a string de texto que dá o seu nome:
MurkryIKX
Saiba mais
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com