ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO. Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Classe
Trojan-PSW
Plataforma
Win32

Classe principal: TrojWare

Os cavalos de Tróia são programas mal-intencionados que executam ações que não são autorizadas pelo usuário: eles excluem, bloqueiam, modificam ou copiam dados e interrompem o desempenho de computadores ou redes de computadores. Ao contrário dos vírus e worms, as ameaças que se enquadram nessa categoria não conseguem fazer cópias de si mesmas ou se auto-replicar. Os cavalos de Tróia são classificados de acordo com o tipo de ação que executam em um computador infectado.

Classe: Trojan-PSW

Os programas do Trojan-PSW são projetados para roubar informações de contas de usuários, como logins e senhas, de computadores infectados. PSW é um acrônimo de Password Stealing Ware. Quando lançado, um cavalo de Tróia PSW pesquisa arquivos de sistema que armazenam uma variedade de dados confidenciais ou o registro. Se esses dados forem encontrados, o cavalo de Tróia os enviará ao seu “mestre”. E-mails, FTP, a Web (incluindo dados em uma solicitação) ou outros métodos podem ser usados ​​para transitar os dados roubados. Alguns desses Trojans também roubam informações de registro de determinados programas de software.

Plataforma: Win32

O Win32 é uma API em sistemas operacionais baseados no Windows NT (Windows XP, Windows 7, etc.) que oferece suporte à execução de aplicativos de 32 bits. Uma das plataformas de programação mais difundidas do mundo.

Descrição

Detalhes técnicos

Trata-se de uma senha e do programa Trojan de roubo de informações WebMoney, com a capacidade de fazer o download de seus "upgrades" de sites da Internet e substituir-se por suas novas versões. O Trojan foi implementado em pacotes de jogos freeware e foi distribuído dessa maneira em maio de 2001.

Como o Trojan pode "atualizar" a partir de sites da Internet, as informações abaixo podem não estar completamente corretas para versões de cavalos de Tróia ainda desconhecidas.

Instalação

Quando o Trojan é executado, ele se copia para o diretório do sistema Windows com o nome TASKSVR32.EXE e se registra na chave de execução automática do registro:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun Microsoft Task Manager = tasksvr32.exe

Se ocorrer um erro durante a criação dessa chave (o usuário atual não tem acesso às chaves HKLM), o Trojan se registra na chave HKCU:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun Microsoft Task Manager = tasksvr32.exe

O Trojan, em seguida, cria o arquivo COOLX.DLL-helper DLL no diretório do sistema Windows. O arquivo Trojan original (a partir do qual o Trojan foi iniciado) é então excluído.

O Trojan também cria mais chaves de registro e grava ali valores hexadecimais:

HKCUSoftwareMicrosoftDirectX
DRMInstallFocus =% hex valie%; estas quatro chaves são
DRMInstallPlace =% hex valie%; hora do sistema quando trojan
DRMUpdateFocus =% hex valie%; instala-se
DRMUpdatePlace =% hex valie%; para o sistema
DRMVersão =% hex valie%; versão trojan

O cavalo de Tróia permanece na memória do Windows como um processo de serviço oculto e fica ativo até que o Windows seja reiniciado.

Informação Roubada

O Trojan envia ao seu autor as seguintes informações de um computador infectado:

Nome do computador
Nome de usuário
Cadeias RegisteredOwner e RegisteredOrganization
Informações de hardware instaladas
Recursos de rede com o modo de acesso
endereço de IP
Informações de RAS, senhas armazenadas em cache
outros logins e senhas de acesso à Internet
Informações do usuário do ICQ
WebMoney informações e arquivos de dados

Atualizando

Dependendo de várias condições, o Trojan obtém arquivos de sites da Internet, faz o download deles para o diretório temporário do Windows com o nome RTTY32.EXE e o gera. Esses arquivos são as próximas versões do cavalo de Tróia e podem ter uma funcionalidade aprimorada.

Versões conhecidas de cavalos de Tróia baixam arquivos das seguintes páginas:

sfavp.chat.ru/update
widpage.chat.ru/update

De outros

Algumas versões conhecidas também:

  • Sobrescrever o arquivo C: AUTOEXEC.BAT com um programa de Trojan "formato C:".
  • execute o Internet Explorer e abra uma das seguintes páginas:
    http://vrs.ru
    http://ebooks.vov.ru
    http://3w.ozonebooks.com
  • execute o ataque DoS em http://www.ibm.com

    Saiba mais

    Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com

    Encontrou uma imprecisão na descrição desta vulnerabilidade? Avise-nos!
  • Novo Kaspersky!
    Sua vida dgital merece proteção completa!
    Saber mais
    Kaspersky Next:
    cibersegurança redefinida
    Saber mais
    Confirm changes?
    Your message has been sent successfully.