VírusWorm/Nuqel.BE.7
Data em que surgiu:23/11/2011
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Tamanho:721745 Bytes
MD5 checksum:759ca80274db9600865f98dd29ea7d5a
Versão VDF:7.11.18.17 - quarta-feira, 23 de novembro de 2011
Versão IVDF:7.11.18.17 - quarta-feira, 23 de novembro de 2011

 Vulgarmente Meio de transmissão:
   • Recurso de execução automática


Alias:
   •  Mcafee: W32/YahLover.worm.gen
   •  Kaspersky: Worm.Win32.AutoIt.dn
   •  Bitdefender: Win32.Worm.Sohanat.CK
   •  Grisoft: Dropper.Generic4.CAYF
   •  Eset: Win32/Autoit.EP.Gen worm
   •  GData: Win32.Worm.Sohanat.CK
   •  Norman: New unknown virus W32/Obfuscated.H!genr


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efeitos secundários:
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\gphone.exe
   • %WINDIR%\gphone.exe

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Yahoo Messengger"="c:\windows\\system32\\gphone.exe"



São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "NofolderOptions"=dword:00000001

– HKLM\SYSTEM\ControlSet001\Services\Schedule
   • "AtTaskMaxHours"=dword:00000000

– HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings
   • "ProxyEnable"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
   • "Start Page"="http://rnd009.googlepages.com/google.html"



Altera as seguintes chaves de registo do Windows:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Valor anterior:
   • "Shell"="Explorer.exe"
   Valor recente:
   • "Shell"="Explorer.exe gphone.exe"

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
   Valor anterior:
   • "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   • "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   • "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   Valor recente:
   • "Default_Page_URL"="http://rnd009.googlepages.com/google.html"
   • "Default_Search_URL"="http://rnd009.googlepages.com/google.html"
   • "Search Page"="http://rnd009.googlepages.com/google.html"

Home page do Internet Explorer:

– HKCU\Software\Microsoft\Internet Explorer\Main
   Valor anterior:
   • "Start Page"="about:blank"
   Valor recente:
   • "Start Page"="http://rnd009.googlepages.com/google.html"

 Informações diversas Recursos de acesso à Internet:
   • **********go.**********pages.com/setting.ini
   • **********cam.**********pages.com/setting.ini


Manipulador de eventos:
Cria o seguinte Manipulador de eventos:
   • CloseServiceHandle
   • OpenSCManager
   • ReadProcessMemory
   • WriteProcessMemory
   • GetKeyState
   • GetAsyncKeyState
   • HttpOpenRequest
   • FtpOpenFile
   • InternetOpenUrl
   • InternetOpen
   • GetDriveType
   • CreateFile
   • ShellExecute

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Die Beschreibung wurde erstellt von Wensin Lee am Mittwoch, 30. Mai 2012
Die Beschreibung wurde geändert von Wensin Lee am Mittwoch, 30. Mai 2012

zurück . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Alle Rechte vorbehalten.

Mein Konto

https:// Dieses Fenster ist zu Ihrer Sicherheit verschlüsselt.