Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
VírusWorm/VB.LY.24
Data em que surgiu:31/08/2009
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:57.344 Bytes
MD5 checksum:9106346b9e74cc1f89196e881af87d73
Versão VDF:7.01.05.184
Versão IVDF:7.01.05.185 - segunda-feira, 31 de agosto de 2009

 Vulgarmente Alias:
   •  Mcafee: W32/Autorun.worm.h
   •  Kaspersky: IM-Worm.Win32.VB.ly
   •  Sophos: Mal/CoiDung-A
   •  Bitdefender: Worm.Generic.39086
   •  Panda: W32/CogDuni.F.worm
   •  GData: Worm.Generic.39086


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\config\Win.exe
   • %WINDIR%\Help\Other.exe
   • %WINDIR%\dc.exe
   • %WINDIR%\inf\Other.exe
   • %SYSDIR%\Fun.exe
   • %WINDIR%\SVIQ.EXE
   • %SYSDIR%\WinSit.exe



É criado o seguinte ficheiro:

%WINDIR%\wininit.ini



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %SYSDIR%\Fun.exe


– Executa um dos seguintes ficheiros:
   • %WINDIR%\SVIQ.EXE


– Executa um dos seguintes ficheiros:
   • %WINDIR%\dc.exe

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Fun"="%SYSDIR%\Fun.exe"
   • "dc"="%WINDIR%\dc.exe"
   • "dc2k5"="%WINDIR%\SVIQ.EXE"



É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%SYSDIR%\config\Win.exe"



Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor recente:
   • "shell"="Explorer.exe %SYSDIR%\WinSit.exe"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Valor recente:
   • "load"="%WINDIR%\inf\Other.exe"

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrizione inserita da Petre Galan su venerdì 18 marzo 2011
Descrizione aggiornata da Petre Galan su venerdì 18 marzo 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.