ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Trojan-PSW.Win32.Widget

Classe Trojan-PSW
Plataforma Win32
Descrição

Detalhes técnicos

Trata-se de uma senha e do programa Trojan de roubo de informações WebMoney, com a capacidade de fazer o download de seus "upgrades" de sites da Internet e substituir-se por suas novas versões. O Trojan foi implementado em pacotes de jogos freeware e foi distribuído dessa maneira em maio de 2001.

Como o Trojan pode "atualizar" a partir de sites da Internet, as informações abaixo podem não estar completamente corretas para versões de cavalos de Tróia ainda desconhecidas.

Instalação

Quando o Trojan é executado, ele se copia para o diretório do sistema Windows com o nome TASKSVR32.EXE e se registra na chave de execução automática do registro:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun Microsoft Task Manager = tasksvr32.exe

Se ocorrer um erro durante a criação dessa chave (o usuário atual não tem acesso às chaves HKLM), o Trojan se registra na chave HKCU:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun Microsoft Task Manager = tasksvr32.exe

O Trojan, em seguida, cria o arquivo COOLX.DLL-helper DLL no diretório do sistema Windows. O arquivo Trojan original (a partir do qual o Trojan foi iniciado) é então excluído.

O Trojan também cria mais chaves de registro e grava ali valores hexadecimais:

HKCUSoftwareMicrosoftDirectX
DRMInstallFocus =% hex valie%; estas quatro chaves são
DRMInstallPlace =% hex valie%; hora do sistema quando trojan
DRMUpdateFocus =% hex valie%; instala-se
DRMUpdatePlace =% hex valie%; para o sistema
DRMVersão =% hex valie%; versão trojan

O cavalo de Tróia permanece na memória do Windows como um processo de serviço oculto e fica ativo até que o Windows seja reiniciado.

Informação Roubada

O Trojan envia ao seu autor as seguintes informações de um computador infectado:

Nome do computador
Nome de usuário
Cadeias RegisteredOwner e RegisteredOrganization
Informações de hardware instaladas
Recursos de rede com o modo de acesso
endereço de IP
Informações de RAS, senhas armazenadas em cache
outros logins e senhas de acesso à Internet
Informações do usuário do ICQ
WebMoney informações e arquivos de dados

Atualizando

Dependendo de várias condições, o Trojan obtém arquivos de sites da Internet, faz o download deles para o diretório temporário do Windows com o nome RTTY32.EXE e o gera. Esses arquivos são as próximas versões do cavalo de Tróia e podem ter uma funcionalidade aprimorada.

Versões conhecidas de cavalos de Tróia baixam arquivos das seguintes páginas:

sfavp.chat.ru/update
widpage.chat.ru/update

De outros

Algumas versões conhecidas também:

  • Sobrescrever o arquivo C: AUTOEXEC.BAT com um programa de Trojan "formato C:".
  • execute o Internet Explorer e abra uma das seguintes páginas:

    http://vrs.ru
    http://ebooks.vov.ru
    http://3w.ozonebooks.com

  • execute o ataque DoS em http://www.ibm.com

  • Link para o original