Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Spyware

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Caiu por outro malware, Baixados da Internet

Ele exclui arquivos, inibindo a correta execução de programas e aplicativos.

  Detalhes técnicos

Tipo de arquivo: EXE
Residente na memória: Sim
Carga útil: Connects to URLs/IPs, Steals information

Instalao

Ele deixa os seguintes arquivos:

  • %System Root%\Recycle.Bin\Recycle.Bin.exe
  • %System Root%\Recycle.Bin\config.bin
  • {malware folder}\mxwqp.exe

(Observação: %System Root% é a pasta raiz que, geralmente, é C:\. Também é o local em que se encontra o sistema operacional.)

Ele deixa as seguintes cópias dele mesmo no sistema infectado:

  • %System%\sdra64.exe

(Observação: %System% é a pasta de sistema do Windows, que geralmente é C:\Windows\System, no Windows 98 e ME; C:\WINNT\System32, no Windows NT e 2000; ou C:\Windows\System32, no Windows XP e Server 2003).

)

Ele cria as seguintes pastas:

  • %User Profile%\Application Data\VMware
  • %System Root%\Recycle.Bin

(Observação: %User Profile% é a pasta do perfil do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}, no Windows NT; e C:\Documents and Settings\{nome do usuário}, no Windows 2000, XP e Server 2003.. %System Root% é a pasta raiz que, geralmente, é C:\. Também é o local em que se encontra o sistema operacional.)

Tcnica de inicializao automtica

Ele modifica as seguintes entradas de registro para garantir sua execução automática a cada inicialização do sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
userinit = "%System%\userinit.exe, %System%\sdra64.exe,"

(Note: The default value data of the said registry entry is %System%\userinit.exe,.)

Outras modificaes no sistema

Ele exclui os seguintes arquivos:

  • %System%\sdra64.exe
  • %Windows%\SoftwareDistribution\DataStore\Logs\edbtmp.log

(Observação: %System% é a pasta de sistema do Windows, que geralmente é C:\Windows\System, no Windows 98 e ME; C:\WINNT\System32, no Windows NT e 2000; ou C:\Windows\System32, no Windows XP e Server 2003).

. %Windows% é a pasta do Windows, que geralmente é C:\Windows ou C:\WINNT).

)

Adiciona estas chaves de registro:

HKEY_CURRENT_USER\SOFTWARE\Microsoft Windows

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{4776C4DC-E894-7C06-2148-5D73CEF5F905

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{5ECCBACD-C6EF-355D-5A40-82CE4647642B}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
opera.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
navigator.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
safari.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
chrome.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
userinit.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
wiyuwieetq

Adiciona estas entradas de registro como parte da rotina de instalação:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
{3039636B-5F3D-6C64-6675-696870667265} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
{33373039-3132-3864-6B30-303233343434} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
{6E633338-267E-2A79-6830-386668666866} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{4776C4DC-E894-7C06-2148-5D73CEF5F905}
{3039636B-5F3D-6C64-6675-696870667265} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{4776C4DC-E894-7C06-2148-5D73CEF5F905}
{33373039-3132-3864-6B30-303233343434} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{4776C4DC-E894-7C06-2148-5D73CEF5F905}
{6E633338-267E-2A79-6830-386668666866} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F}
{3039636B-5F3D-6C64-6675-696870667265} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F}
{33373039-3132-3864-6B30-303233343434} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F}
{6E633338-267E-2A79-6830-386668666866} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{5ECCBACD-C6EF-355D-5A40-82CE4647642B}
{3039636B-5F3D-6C64-6675-696870667265} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{5ECCBACD-C6EF-355D-5A40-82CE4647642B}
{33373039-3132-3864-6B30-303233343434} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{5ECCBACD-C6EF-355D-5A40-82CE4647642B}
{6E633338-267E-2A79-6830-386668666866} = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
opera.exe
Debugger = "%Program Files%\Internet Explorer\iexplore.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
navigator.exe
Debugger = "%Program Files%\Internet Explorer\iexplore.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
safari.exe
Debugger = "%Program Files%\Internet Explorer\iexplore.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
chrome.exe
Debugger = "%Program Files%\Internet Explorer\iexplore.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
userinit.exe
Debugger = "mxwqp.exe"

HKEY_CURRENT_USER\Software\Microsoft Windows
0000002B3FF26F90 = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft Windows
0000003547893DD5 = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft Windows
0000002FD0CD8A17 = "{random values}"