Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/Agent.172032.6
Data em que surgiu:16/04/2007
Tipo:Trojan
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:Baixo
Nvel de risco:De baixo a mdio
Ficheiro esttico:Sim
Tamanho:172.032 Bytes
MD5 checksum:50fcc03125d42d7e1251d006eba8b12a
Verso VDF:6.38.00.220
Verso IVDF:6.38.00.224 - segunda-feira, 16 de abril de 2007

 Vulgarmente    • No tem rotinas de propagao


Alias:
   •  Mcafee: W32/Zaflen.a
   •  Kaspersky: Worm.Win32.VB.gr
   •  F-Secure: Worm.Win32.VB.gr
   •  Sophos: W32/Lovelet-AD
   •  Panda: W32/Nedro.C.worm
   •  Eset: Win32/VB.BP
   •  Bitdefender: Win32.Worm.VB.TC


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Desactiva aplicaes de segurana
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizaes
   • %WINDIR%\lsass.exe
   • %SYSDIR%\mskernel.exe
   • %WINDIR%\setup\mskernel.exe
   • %WINDIR%\services.exe
   • %WINDIR%\gorgle\csrss.exe
   • %ALLUSERSPROFILE%\Desktop\Microsoft Word Document.scr
   • %ALLUSERSPROFILE%\Start Menu\Programs\Microsoft Word Document.scr
   • %ALLUSERSPROFILE%\Start Menu\New Microsoft Word Document.scr
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\folderwiz.com
   • %HOME%\NetHood\Hot Picture.com
   • %HOME%\My Documents\My Picture.com
   • %HOME%\PrintHood\Printing Information.com
   • %HOME%\Recent\New Microsoft Word Document.scr
   • %HOME%\SendTo\Image Editor.com
   • %HOME%\Start Menu\Image Viewer.com
   • %HOME%\My Documents\My Picture.com
   • %HOME%\My Documents\MyPictures\mskernel.exe
   • %HOME%\My Documents\Rated R Pictures.com
   • %WINDIR%\AutoRun.ini
   • C:\CoolWorld.exe
   • %WINDIR%\agila.scr
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\CoolWorld.exe



criado o seguinte ficheiro:

C:\autorun.inf um ficheiro de texto no malicioso com o seguinte contedo:
   • [autorun]
     open=CoolWorld.exe
     shell\open=Open
     shell\open\Command=CoolWorld.exe
     shell\open\Default=1
     shell\explore=Explore
     shell\explore\Command=CoolWorld.exe

 Registry (Registo do Windows) So adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Shell="explorer.exe "%WINDIR%\services.exe""
   • Userinit="%SYSDIR%\userinit.exe,%WINDIR%\gorgle\csrss.exe,"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • (Default)="%SYSDIR%\mskernel.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • (Default)="\WINDOWS\lsass.exe"
   • WinRun="%WINDIR%\AutoRun.ini"



So adicionadas as seguintes chaves ao registo:

[HKCR\Folder\shell\About Us\Command]
[HKLM\Software\Microsoft\Windows\System\Malicious]
   • Sams32="0212"



Altera as seguintes chaves de registo do Windows:

Desactiva o Regedit e o Gestor de Tarefas:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor recente:
   • Run=dword:00000001
   • NoFolderOptions=dword:00000001
   • NoRun=dword:00000001

Home page do Internet Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor recente:
   • DisableRegistryTools=dword:00000001

[HKCR\avifile\shell\open\command]
   Valor recente:
   • (Default)=""%WINDIR%\setup\mskernel.exe" "

[HKCR\piffile\shell\open\command]
   Valor recente:
   • (Default)=""%WINDIR%\setup\mskernel.exe" "

[HKCR\artfile\shell\open\command]
   Valor recente:
   • (Default)=""%WINDIR%\setup\mskernel.exe" "

[HKCR\datfile\shell\open\command]
   Valor recente:
   • (Default)=""%WINDIR%\setup\mskernel.exe" "

[HKCR\exefile]
   Valor recente:
   • NeverShowExt="

[HKCR\scrfile]
   Valor recente:
   • NeverShowExt="
     (Default)="Microsoft Word Document"

[HKCR\batfile]
   Valor recente:
   • NeverShowExt="

[HKCR\comfile]
   Valor recente:
   • NeverShowExt="
     (Default)="JPEG Image"

[HKCR\comfile\defaulticon]
   Valor recente:
   • (Default)="shimgvw.dll,3"

[HKLM\SOFTWARE\Microsoft\Windows]
   Valor recente:
   • ScanningSystemDrive="False"

[HKCR\batfile\shell\edit\command]
   Valor recente:
   • (Default)=hex(2):73,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,20,00,2d,00,73,00,20,00,2d,00,66,00,20,00,2d,00,74,00,20,00,30,00,00,00

[HKCR\inifile\shell\open\command]
   Valor recente:
   • (Default)=hex(2):22,00,25,00,31,00,22,00,20,00,25,00,2a,00,00,00

 Terminar o processo A seguinte lista de processos so terminados:
   • avgctrl.exe; kav.exe; avgamsvr.exe; avgserv.exe; avgmsvr.exe;
      avgcc32.exe; avgcc.exe; avginet.exe; avgupsvc.exe; avgemc.exe;
      avgnt.exe; avgregcl.exe; avgserv9.exe; avgw.exe; alogserv.exe;
      avsynmgr.exe; Mpfsheild.exe; MpfAgent.exe; mpf.exe; MpfConsole.exe;
      mcagent.exe; mcappins.exe; McDash.exe; mcdetect.exe; mcinfo.exe;
      mcmnhdlr.exe; mcshield.exe; mctskshd.exe; mcupdate.exe; mcvsescn.exe;
      mcvsshld.exe; avpcc.exe; mcvsftsn.exe; mcvsrte.exe; vstskmgr.exe;
      vsmain.exe; vshwin32.exe; pccpfw.exe; pccclient.exe; pcclient.exe;
      pccguide.exe; pccnt.exe; pccntmon.exe; pccntupd.exe; PcCtlCom.exe;
      pcscan.exe; avpm.exe; kavsvc.exe; AVENGINE.EXE; nisserv.exe;
      NISUM.exe; Navapsvc.exe; NMain.exe; Navapw32.exe; VetMsg.exe;
      VetTray.exe; Vet32.exe; VetNT.exe; vsmon.exe; zlclient.exe; zapro.exe;
      zonealarm.exe; APVXDWIN.EXE; AVLITE.EXE; AVLTMAIN.EXE; AVTASK.EXE;
      LUPGCONF.EXE; PAVSRV51.EXE; PavPrSrv.exe


 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em Visual Basic.

Descrição enviada por Ernest Szocs em quarta-feira, 7 de novembro de 2007
Descrição atualizada por Ernest Szocs em quinta-feira, 8 de novembro de 2007

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.