VírusADSPY/Hoax.Renos.AG
Data em que surgiu:17/02/2006
Tipo:Trojan
Subtipo:Adware
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:29.696 Bytes
MD5 checksum:a5a84ed083f9cb0A46369c044eecab73
Versão VDF:6.33.01.03

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Mcafee: Downloader-AFH
   •  Kaspersky: not-virus:Hoax.Win32.Renos.bm
   •  Sophos: Troj/Spywad-AE
   •  Bitdefender: Trojan.FakeAlert.SpySheriff.A


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro
   • Descarrega ficheiros
   • Altera o registo do Windows


Depois de executado é visualizada a seguinte informação:


 Ficheiros Autocopia-se para a seguinte localização:
   • C:\winstall.exe



São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • C:\Program Files\SpySheriff\base.avd; C:\Program
      Files\SpySheriff\base001.avd; C:\Program Files\SpySheriff\base002.avd;
      C:\Program Files\SpySheriff\found.wav; C:\Program
      Files\SpySheriff\heur000.dll; C:\Program Files\SpySheriff\heur001.dll;
      C:\Program Files\SpySheriff\heur002.dll; C:\Program
      Files\SpySheriff\heur003.dll; C:\Program Files\SpySheriff\notfound.wav;
      C:\Program Files\SpySheriff\removed.wav; C:\Program
      Files\SpySheriff\SpySheriff.dvm; C:\Program
      Files\SpySheriff\SpySheriff.exe; C:\Program Files\SpySheriff\Uninstall.exe




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • otherhost.com/**********
Encontra-se no disco rígido: %APPDATA%\Install.dat

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows installer"="C:\winstall.exe"
   • "pro" = "%directório de execução do malware%\%ficheiro executado%"



O valor da seguinte chave Registo é eliminado:

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • pro



A seguinte chave de registo e todos os valores são eliminados:
   • [HKCU\SOFTWARE\Install]



É adicionada a seguinte chave de registo:

– [HKCU\SOFTWARE\Install]
   • "Version" = dword:00000000

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.

Descrição enviada por Daniel Constantin em quarta-feira, 1 de março de 2006
Descrição atualizada por Daniel Constantin em quarta-feira, 1 de março de 2006

Voltar . . . .