VírusTR/Vb.akv
Data em que surgiu:18/05/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De médio a elevado
Ficheiro estático:Sim
Tamanho:188.416 Bytes
MD5 checksum:fdd2e621aca76fd503535376e4063118
Versão VDF:6.34.01.99
Versão IVDF:6.34.01.101 - quinta-feira, 18 de maio de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan.Win32.VB.akz
   •  F-Secure: Trojan.Win32.VB.akz
   •  Eset: Win32/VB.AKZ
   •  Bitdefender: Trojan.Vb.AKZ


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega um ficheiro
   • Baixa as definições de segurança
   • Altera o registo do Windows


Depois de executado é visualizada a seguinte informação:


 Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\jjakarta.exe
   • %HOME%\My Documents\ttrans.exe
   • %SYSDIR%\ooke.exe
   • \%nome da pasta actual%.exe



Elimina os seguintes ficheiros:
   • \*.exe
   • \*.txt
   • \*.com
   • \*.reg
   • \*.inf
   • \*.rar



São criados os seguintes ficheiros:

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %TEMPDIR%\~%número hexadecimal%.tmp

– %HOME%\My Documents\Baca.html

 Registry (Registo do Windows) São adicionadas as seguintes chaves ao registo:

– [HKCU\Software\Microsoft\MS Setup (ACME)]
– [HKCU\Software\Microsoft\MS Setup (ACME)\User Info]
   • "DefCompany"="Terima kasih kepada Vaksin.Com"
   • "DefName"="Terima kasih kepada Vaksin.Com"



Altera as seguintes chaves de registo do Windows:

Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Valor anterior:
   • "FullPath"=%definições do utilizador %
   Valor recente:
   • "FullPath"=dword:00000001

Desactiva o Regedit e o Gestor de Tarefas:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Valor anterior:
   • "FullPath"=%definições do utilizador %
   Valor recente:
   • "FullPath"=dword:00000001

– [HKCR\Directory]
   Valor anterior:
   • "InfoTip"="prop:DocComments"
   Valor recente:
   • "InfoTip"=""
   • "TileInfo"=""

– [HKCR\Directory\DefaultIcon]
   Valor anterior:
   • @="%SystemRoot%\System32\shell32.dll,3"
   Valor recente:
   • @="%WINDIR%\jjakarta.exe"

– [HKCR\Folder]
   Valor anterior:
   • "TileInfo"="prop:Size"
   Valor recente:
   • "TileInfo"=""
   • "InfoTip"=""

– [HKCR\Folder\DefaultIcon]
   Valor anterior:
   • @="%SystemRoot%\System32\shell32.dll,3"
   Valor recente:
   • @="%WINDIR%\jjakarta.exe"

– [HKCR\exefile]
   Valor anterior:
   • @="Application"
   • "TileInfo"="prop:FileDescription;Company;FileVersion"
   • "InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
   Valor recente:
   • @="File Folder"
   • "TileInfo"=""
   • "InfoTip"=""
   • "NeverShowExt"=""

– [HKCR\txtfile\shell\open\command]
   Valor anterior:
   • @="%SystemRoot%\system32\NOTEPAD.EXE %1"
   Valor recente:
   • @="%SYSDIR%\OOKE.EXE %1"

Desactiva o Regedit e o Gestor de Tarefas:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "HideFileExt"=%definições do utilizador %
   • "ClassicViewState"=%definições do utilizador %
   • "SuperHidden"=%definições do utilizador %
   • "ShowSuperHidden"=%definições do utilizador %
   Valor recente:
   • "HideFileExt"=dword:00000001
   • "ClassicViewState"=dword:00000001
   • "SuperHidden"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "HideFileExt"=%definições do utilizador %
   • "SuperHidden"=%definições do utilizador %
   • "ShowSuperHidden"=%definições do utilizador %
   • "ClassicViewState"=%definições do utilizador %
   Valor recente:
   • "HideFileExt"=dword:00000001
   • "SuperHidden"=dword:00000001
   • "ShowSuperHidden"=dword:00000000
   • "ClassicViewState"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor recente:
   • "DisableCAD"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valor anterior:
   • "AntiVirusDisableNotify"=%definições do utilizador %
   • "FirewallDisableNotify"=%definições do utilizador %
   • "UpdatesDisableNotify"=%definições do utilizador %
   • "AntiVirusOverride"=%definições do utilizador %
   • "FirewallOverride"=%definições do utilizador %
   Valor recente:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000000
   • "FirewallOverride"=dword:00000000

Home page do Internet Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Valor anterior:
   • "DisableRegistryTools"=%definições do utilizador %
   Valor recente:
   • "DisableRegistryTools"=dword:00000001

Home page do Internet Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Microsoft\Windows\
   CurrentVersion\Policies\System]
   Valor anterior:
   • "DisableRegistryTools"=%definições do utilizador %
   Valor recente:
   • "DisableRegistryTools"=dword:00000001

Home page do Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor anterior:
   • "DisableRegistryTools"=%definições do utilizador %
   Valor recente:
   • "DisableRegistryTools"=dword:00000001

Home page do Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Microsoft\Windows\
   CurrentVersion\Policies\System]
   Valor anterior:
   • "DisableRegistryTools"=%definições do utilizador %
   Valor recente:
   • "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
   Valor anterior:
   • "RegisteredOrganization"=%definições do utilizador %
   • "RegisteredOwner"=%definições do utilizador %
   Valor recente:
   • "RegisteredOrganization"="Terima kasih kepada Vaksin.Com"
   • "RegisteredOwner"="Terima kasih kepada Vaksin.Com"

Desactiva o Regedit e o Gestor de Tarefas:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
   Valor anterior:
   • "NoFind"=%definições do utilizador %
   • "NoRun"=%definições do utilizador %
   Valor recente:
   • "NoFind"=dword:00000001
   • "NoRun"=dword:00000001

Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor anterior:
   • "NoFind"=%definições do utilizador %
   • "NoRun"=%definições do utilizador %
   Valor recente:
   • "NoFind"=dword:00000001
   • "NoRun"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="explorer.exe"
   Valor recente:
   • "Shell"="explorer.exe jjakarta.exe"

 Terminar o processo São terminados os processos que contêm um dos titulos seguintes:
   • windows task manager
   • search results


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.

Descrição enviada por Adriana Popa em sexta-feira, 24 de novembro de 2006
Descrição atualizada por Adriana Popa em sexta-feira, 24 de novembro de 2006

Voltar . . . .