VírusTR/Drop.Stration.677
Data em que surgiu:26/10/2006
Tipo:Trojan
Subtipo:Dropper
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:109.100 Bytes
MD5 checksum:41b787a3275255e4e17360ba59cdc763
Versão VDF:6.36.01.60
Versão IVDF:6.36.01.63 - terça-feira, 21 de novembro de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Mcafee: W32/Stration@MM
   •  Kaspersky: Email-Worm.Win32.Warezov.dq
   •  Sophos: W32/Stratio-BW
   •  Eset: Win32/Stration.KQ

Identificado anteriormente como:
   •  TR/Hijack.Explor.677


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros São criados os seguintes ficheiros:

%SYSDIR%\audmgr32.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: WORM/Warezov.DQ

%SYSDIR%\audconf.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: WORM/Warezov.DQ.2

%SYSDIR%\audperf.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: WORM/Warezov.DQ.10

%SYSDIR%\audprf32.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: WORM/Warezov.DQ.3

%SYSDIR%\audstat.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: WORM/Warezov.DQ.6

%SYSDIR%\confaud.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: WORM/Warezov.DQ.1

 Registry (Registo do Windows) É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   audmgr]
   • "Asynchronous"=dword:00000000
   • "DllName"="audmgr32.dll"
   • "Impersonate"=dword:00000000
   • "Startup"="WlxStartup"
   • "Shutdown"="WlxShutdown"



O seguinte valor do registo é alterado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Valor anterior:
   • "AppInit_DLLs"=""
   Valor recente:
   • "AppInit_DLLs"=" confaud.dll audstat.dll"

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • MEW

Descrição enviada por Monica Ghitun em quinta-feira, 26 de outubro de 2006
Descrição atualizada por Adriana Popa em terça-feira, 21 de novembro de 2006

Voltar . . . .