Full description

Vírus	TR/Click.Small.HR
Data em que surgiu:	23/08/2005
Tipo:	Trojan
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	De baixo a médio
Ficheiro estático:	Sim
Tamanho:	20.480 Bytes
MD5 checksum:	aab0b0d92b441763d45cff47c9224bcb
Versão VDF:	6.31.1.140

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Symantec: PWSteal.Lemir
   • Kaspersky: Trojan-Clicker.Win32.Small.hr
   • Panda: Trj/Agent.AIA
   • Bitdefender: Trojan.Clicker.Small.HR

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP

Efeitos secundários:
   • Desactiva aplicações de segurança
   • Altera o registo do Windows

Ficheiros Autocopia-se para a seguinte localização:
• %SYSDIR%\iexplore.exe

Apaga a cópia executada inicialmente.

É criado o seguinte ficheiro:

– %WINDIR%\deleteme.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Microsoft"="%SYSDIR%\iexplore.exe"

Os valores das seguintes chaves registo do windows são eliminados:

– HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run
   • RavMon
   • KAVPersonal50
   • RavTimer
   • KvMonXP
   • iDuba Personal FireWall
   • KAVRun
   • KpopMon
   • Kulansyn
   • KavPFW
   • KvXP
   • ccApp
   • SSC_UserPrompt
   • NAV CfgWiz
   • MCAgentExe
   • McRegWiz
   • MCUpdateExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • VirusScan Online
   • VSOCheckTask
   • McAfeeUpdaterUI
   • Network Associates Error Reporting Service
   • ShStatEXE
   • KavStart
   • Services
   • KWatch9x

– HKCU\SoftWare\Microsoft\Windows\CurrentVersion\Run
   • iDuba Personal FireWall
   • KavPFW
   • KvXP

São adicionadas as seguintes chaves ao registo:

– HKLM\SYSTEM\CurrentControlSet\Services\RsRavMon
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\RsCCenter
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\kavsvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\KVSrvXP
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\SNDSrvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\ccProxy
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\ccEvtMgr
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\ccSetMgr
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\SPBBCSvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\Symantec Core LC
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\navapsvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\NPFMntor
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\MskService
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\FireSvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\McShield
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\McTaskManager
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\McAfeeFramework
   • Start=dword:00000004

Terminar o processo A seguinte lista de processos são terminados:
   • CCAPP.EXE; EGHOST.EXE; explor.exe; FireTray.exe; Iparmor.exe;
      KATMain.EX; KAV32.EXE; KAVPFW.EXE; KAVPLUS.EXE; KAVStart.exe;
      KmailMon.EXE; KPOPMON.EXE; KRegEx.exe; KVCENTER.KXP; KvDetech.exe;
      KVFW.EXE; KVMonXP.KXP; KVOL.exe; kvolself.exe; KVXP.KXP; KWatch9x.exe;
      KWATCHUI.EXE; MAILMON.EXE; MCAGENT.EXE; MCVSESCN.EXE; MSKAGENT.EXE;
      RAV.EXE; RAVMON.EXE; RAVTIMER.EXE; SHSTAT.EXE; SOFTOK.EXE; TBMon.exe;
      TrojanDetector.EXE; TrojDie.kxp; UpdaterUI.exe; windox.exe

São terminados os processos com as seguintes características:
    • Titulo: Symantec AntiVirus     Nome de classe: KV2004
    • Titulo: RavMon.exe     Nome de classe: RavMonClass
    • Titulo: ZoneAlarm     Nome de classe: ZAFrameWnd
    • Titulo: %caracteres-double-byte%     Nome de classe: Tapplication
    • Titulo: %caracteres-double-byte%     Nome de classe: TForm1
    • Titulo: %aleatório%     Nome de classe: TfLockDownMain
    • Titulo: %aleatório%     Nome de classe: KvXP_ExpertFrame
    • Titulo: %aleatório%     Nome de classe: WHXMDI0

Lista de serviços desactivados:
   • ccEvtMgr; ccProxy; ccSetMgr; FireSvc; kavsvc; KPfwSvc; KVSrvXP;
      KWatchSvc; McAfeeFramework; McShield; McTaskManager; MskService;
      navapsvc; NPFMntor; RsCCenter; RsRavMon; SNDSrvc; SPBBCSvc; Symantec
      Core LC; wscsvc

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Delphi.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• UPX

Descrição enviada por Irina Boldea em terça-feira, 23 de agosto de 2005
Descrição atualizada por Irina Boldea em segunda-feira, 29 de agosto de 2005

Voltar . . . .

Proteçao especial para PCs

Produtos gratuitos

Produtos mais populares

Todos os produtos

Soluçoes em pacote

Estaçoes de trabalho

Server

Soluçoes em pacote

Mail Gateways

Web Gateways

Plataformas de colaboraçao

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas