Classe principal: TrojWare
Os cavalos de Tróia são programas mal-intencionados que executam ações que não são autorizadas pelo usuário: eles excluem, bloqueiam, modificam ou copiam dados e interrompem o desempenho de computadores ou redes de computadores. Ao contrário dos vírus e worms, as ameaças que se enquadram nessa categoria não conseguem fazer cópias de si mesmas ou se auto-replicar. Os cavalos de Tróia são classificados de acordo com o tipo de ação que executam em um computador infectado.Classe: Trojan-Notifier
Programas maliciosos desse tipo são projetados para enviar mensagens para informar o usuário mal-intencionado que o controla quando um computador infectado está on-line. O usuário mal-intencionado receberá informações sobre o computador infectado, como seu endereço IP, o número da porta aberta, endereços de e-mail, etc. As informações podem ser enviadas por uma variedade de métodos: e-mail, uma solicitação especialmente criada enviada para o site do usuário, ou via mensagens instantâneas. Os notificadores são usados em cavalos de Tróia de múltiplos componentes para notificar os usuários mal-intencionados sobre a instalação bem-sucedida de programas mal-intencionados em computadores vítimas.Plataforma: Win32
O Win32 é uma API em sistemas operacionais baseados no Windows NT (Windows XP, Windows 7, etc.) que oferece suporte à execução de aplicativos de 32 bits. Uma das plataformas de programação mais difundidas do mundo.Descrição
Detalhes técnicos
Este Trojan foi projetado para informar ao usuário mal-intencionado remoto que um componente de Trojan foi instalado com sucesso na máquina vítima.
O programa é um arquivo EXE do Windows PE. Está escrito em Assembler. O tamanho dos arquivos infectados pode variar de 1600 bytes a 4096 bytes.
Carga útil
Uma vez iniciado, o Trojan se copia para o diretório raiz do Windows sob o nome original do arquivo:
% Windir%Em seguida, ele se registra no registro do sistema:
[HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]"load" = "% Windir%" Isso garante que o cavalo de Tróia seja iniciado sempre que o Windows for inicializado na máquina vítima.
A cada cinco segundos, o Trojan verifica se há conexão com a Internet. Quando uma conexão com a Internet é estabelecida, o cavalo de Tróia abrirá o seguinte URL:
http: //web.icq.com/whitepages/p *** _ me / .....Uma vez que este URL tenha sido aberto, uma mensagem ICQ será enviada ao usuário mal-intencionado remoto. A mensagem contém o endereço IP, nome e nome de usuário da máquina vítima. Esta mensagem será enviada toda vez que uma conexão com a Internet for estabelecida.
Instruções de remoção
Se o seu computador não tiver um antivírus atualizado ou não tiver uma solução antivírus, siga as instruções abaixo para excluir o programa mal-intencionado:
- Use o Gerenciador de Tarefas para finalizar o processo do cavalo de Tróia
- Exclua o arquivo Trojan original (o local dependerá de como o programa penetrou originalmente na máquina da vítima).
- Exclua o seguinte arquivo:
% Windir%- Exclua a seguinte entrada do registro do sistema:
[HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]"load" = "% Windir%" - Atualize seus bancos de dados de antivírus e execute uma verificação completa do computador ( baixe uma versão de avaliação do Kaspersky Anti-Virus).
Saiba mais
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com
Encontrou uma imprecisão na descrição desta vulnerabilidade? Avise-nos!