Need help? Ask the community or hire an expert.
Go to Avira Answers
VírusTR/Kazy.100152.7
Data em que surgiu:17/10/2012
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Baixo
Ficheiro estático:Sim
Tamanho:272896 Bytes
MD5 checksum:0df3a52b7a304b6d5ec932f0d3e21d0b
Versão VDF:7.11.46.124 - quarta-feira, 17 de outubro de 2012
Versão IVDF:7.11.46.124 - quarta-feira, 17 de outubro de 2012

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Backdoor.Win32.Shiz.gvcj
   •  Eset: Win32/Spy.Shiz.NCF
   •  DrWeb: Trojan.PWS.Ibank.456


Sistemas Operativos:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efeitos secundários:
   • Pode ser usado para executar código malicioso
   • Pode ser usado por malwares ou usuários rogue para diminuir as configurações de segurança
   • Pode ser usado para modificar configurações do sistema que permitem ou aumentam o comportamento do malware em potencial.
   • Descarrega um ficheiro malicioso

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\appatch\%seis caracteres aleatórios%.exe

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "userinit"="%WINDIR%\apppatch\%seis caracteres aleatórios%.exe"



É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\apppatch\%seis caracteres aleatórios%.exe"
   • "run"="%WINDIR%\apppatch\%seis caracteres aleatórios%.exe"



O seguinte valor do registo é alterado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "userinit"="%SYSDIR%\userinit.exe
   Valor recente:
   • "userinit"="%SYSDIR%\userinit.exe,c:\windows\apppatch\%seis caracteres aleatórios%.exe,"
   • "System"="%WINDIR%\apppatch\%seis caracteres aleatórios%.exe"

 Backdoor Contacta o servidor:
Seguintes:
   • xuq**********.eu
   • tuwi**********.eu
   • qeg**********.eu
   • puv**********.eu
   • noju**********.eu
   • dimu**********.eu
   • puzu**********.eu
   • rydi**********.eu
   • cili**********.eu
   • jeje**********.eu
   • voja**********.eu
   • tun**********.eu
   • foge**********.eu
   • fobo**********.eu
   • tupa**********.eu
   • pure**********.eu
   • ryq**********.eu
   • ...


설명 삽입자 Elias Lan   2012년 10월 21일 일요일
설명 업데이트 Elias Lan   2012년 10월 21일 일요일

뒤로 . . . .
https:// 이 창은 보안을 위해 암호화되었습니다.