VírusTR/Krotten.W.1
Data em que surgiu:02/02/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Baixo
Ficheiro estático:Sim
Tamanho:54.565 Bytes
MD5 checksum:fb5c2265f8aec5ef7282ffd1e26bb1b3
Versão VDF:6.33.00.187
Versão do motor antivírus:54.565

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan.Win32.Krotten.ao


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows


Depois de executado é visualizada a seguinte informação:


 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • AVPCC = %WINDIR%\Cursors\avp.exe
   • svchost = %WINDIR%\Web\rundll32.exe



As seguintes chaves de registo e todos os valores são eliminados:
   • [HKCR\regfile\shell\open\command]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}]



Altera as seguintes chaves de registo do Windows:

Desactiva o Regedit e o Gestor de Tarefas:
– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor recente:
   • NoViewOnDrive = dword:00000001
   • NoActiveDesktop = dword:00000001
   • NoDesktop = dword:00000001
   • NoSMMyDocs = dword:00000001
   • NoStartMenuMyMusic = dword:00000001
   • NoSMMyPictures = dword:00000001
   • NoCommonGroups = dword:00000001
   • NoStartMenuSubFolders = dword:00000001
   • NoStartMenuMFUprogramsList = dword:00000001
   • NoStartMenuPinnedList = dword:00000001

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Valor recente:
   • NoViewContextMenu = dword:00000001

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor recente:
   • Start_ShowRun = dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor recente:
   • Start_ShowRun = dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor recente:
   • NoManageMyComputerVerb = dword:00000001
   • NoNetHood = dword:00000001
   • NoPrinters = dword:00000001
   • NoPrinterTabs = dword:00000001
   • NoSMHelp = dword:00000001
   • NoThemesTab = dword:00000001
   • NoToolbarCustomize = dword:00000001
   • NoUserNameInStartMenu = dword:00000001
   • NoSaveSettings = dword:00000001
   • NoClose = dword:00000001
   • NoLogOff = dword:00000001
   • NoRecentDocsMenu = dword:00000001
   • NoFavoritesMenu = dword:00000001
   • NoFind = dword:00000001
   • NoRun = dword:00000001
   • NoDrives = dword:00000014
   • NoControlPanel = dword:00000001
   • NoViewOnDrive = dword:00000001
   • NoActiveDesktop = dword:00000001
   • NoDesktop = dword:00000001
   • NoSMMyDocs = dword:00000001
   • NoStartMenuMyMusic = dword:00000001
   • NoSMMyPictures = dword:00000001
   • NoCommonGroups = dword:00000001
   • NoStartMenuSubFolders = dword:00000001
   • NoStartMenuMFUprogramsList = dword:00000001
   • NoStartMenuPinnedList = dword:00000001

– [HKCU\Control Panel\Desktop]
   Valor recente:
   • MenuShowDelay = 9999
   • WallpaperOriginY = 187
   • WallpaperOriginX = 210

Home page do Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor recente:
   • DisableRegistryTools = dword:00000001
   • NoDispCPL = dword:00000001
   • DisableTaskMgr = dword:00000001

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor recente:
   • DisableRegistryTools = dword:00000001
   • NoDispCPL = dword:00000001
   • DisableTaskMgr = dword:00000001

Home page do Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valor anterior:
   • Start Page = %definições do utilizador %
   Valor recente:
   • Start Page = http://poetry.rot**********

– [HKEY_LOCAL_NACHINE\Software\Microsoft\Internet Explorer\Main]
   Valor anterior:
   • Start Page = %definições do utilizador %
   Valor recente:
   • Start Page = http://poetry.rot**********

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valor recente:
   • NoManageMyComputerVerb = dword:00000001
   • NoNetHood = dword:00000001
   • NoPrinters = dword:00000001
   • NoPrinterTabs = dword:00000001
   • NoSMHelp = dword:00000001
   • NoThemesTab = dword:00000001
   • NoToolbarCustomize = dword:00000001
   • NoUserNameInStartMenu = dword:00000001
   • NoSaveSettings = dword:00000001
   • NoClose = dword:00000001
   • NoLogOff = dword:00000001
   • NoRecentDocsMenu = dword:00000001
   • NoFavoritesMenu = dword:00000001
   • NoFind = dword:00000001
   • NoRun = dword:00000001
   • NoDrives = dword:00000014
   • NoControlPanel = dword:00000001
   • Window title = :::::::::::::::::: ß ÏÅÒÓØÈÍÍÀß ÁËßÄÜ Ñ ÃÍÈËÎÉ ÆÎÏÎÉ ::::::::::::::::::

– [HKLM\Software\Microsoft\Internet Explorer\Main]
   Valor recente:
   • NoManageMyComputerVerb = dword:00000001
   • NoNetHood = dword:00000001
   • NoPrinters = dword:00000001
   • NoPrinterTabs = dword:00000001
   • NoSMHelp = dword:00000001
   • NoThemesTab = dword:00000001
   • NoToolbarCustomize = dword:00000001
   • NoUserNameInStartMenu = dword:00000001
   • NoSaveSettings = dword:00000001
   • NoClose = dword:00000001
   • NoLogOff = dword:00000001
   • NoRecentDocsMenu = dword:00000001
   • NoFavoritesMenu = dword:00000001
   • NoFind = dword:00000001
   • NoRun = dword:00000001
   • NoDrives = dword:00000014
   • NoControlPanel = dword:00000001
   • Window title = :::::::::::::::::: ß ÏÅÒÓØÈÍÍÀß ÁËßÄÜ Ñ ÃÍÈËÎÉ ÆÎÏÎÉ ::::::::::::::::::

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum]
   Valor recente:
   • {20D04FE0-3AEA-1069-A2D8-08002B30309D} = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall]
   Valor recente:
   • NoAddRemovePrograms = dword:00000001

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.

Descrição enviada por Andrei Gherman em quarta-feira, 8 de março de 2006
Descrição atualizada por Andrei Gherman em quarta-feira, 8 de março de 2006

Voltar . . . .