Need help? Ask the community or hire an expert.
Go to Avira Answers
VrusTR/Kazy.100152.7
Data em que surgiu:17/10/2012
Tipo:Trojan
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:Baixo
Nvel de risco:Baixo
Ficheiro esttico:Sim
Tamanho:272896 Bytes
MD5 checksum:0df3a52b7a304b6d5ec932f0d3e21d0b
Verso VDF:7.11.46.124 - quarta-feira, 17 de outubro de 2012
Verso IVDF:7.11.46.124 - quarta-feira, 17 de outubro de 2012

 Vulgarmente Meio de transmisso:
   • No tem rotinas de propagao


Alias:
   •  Kaspersky: Backdoor.Win32.Shiz.gvcj
   •  Eset: Win32/Spy.Shiz.NCF
     DrWeb: Trojan.PWS.Ibank.456


Sistemas Operativos:
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efeitos secundrios:
    Pode ser usado para executar cdigo malicioso
   • Pode ser usado por malwares ou usurios rogue para diminuir as configuraes de segurana
    Pode ser usado para modificar configuraes do sistema que permitem ou aumentam o comportamento do malware em potencial.
   • Descarrega um ficheiro malicioso

 Ficheiros Autocopia-se para a seguinte localizao:
   • %WINDIR%\appatch\%seis caracteres aleatrios%.exe

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "userinit"="%WINDIR%\apppatch\%seis caracteres aleatrios%.exe"



adicionada a seguinte chave de registo:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\apppatch\%seis caracteres aleatrios%.exe"
   • "run"="%WINDIR%\apppatch\%seis caracteres aleatrios%.exe"



O seguinte valor do registo alterado:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "userinit"="%SYSDIR%\userinit.exe
   Valor recente:
   • "userinit"="%SYSDIR%\userinit.exe,c:\windows\apppatch\%seis caracteres aleatrios%.exe,"
   • "System"="%WINDIR%\apppatch\%seis caracteres aleatrios%.exe"

 Backdoor Contacta o servidor:
Seguintes:
   • xuq**********.eu
   • tuwi**********.eu
   • qeg**********.eu
   • puv**********.eu
   • noju**********.eu
   • dimu**********.eu
   • puzu**********.eu
   • rydi**********.eu
   • cili**********.eu
   • jeje**********.eu
   • voja**********.eu
   • tun**********.eu
   • foge**********.eu
   • fobo**********.eu
   • tupa**********.eu
   • pure**********.eu
   • ryq**********.eu
   • ...


설명 삽입자 Elias Lan   2012년 10월 21일 일요일
설명 업데이트 Elias Lan   2012년 10월 21일 일요일

뒤로 . . . .
https:// 이 창은 보안을 위해 암호화되었습니다.