Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/Onlinegames.B
Data em que surgiu:19/05/2008
Tipo:Trojan
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:De baixo a mdio
Nvel de risco:Mdio
Ficheiro esttico:No
Tamanho:~100.000 Bytes
Verso IVDF:7.00.04.63 - terça-feira, 20 de maio de 2008

 Vulgarmente Meio de transmisso:
   • Unidade de rede


Alias:
   •  Mcafee: PWS-LegMir.gen.k
   •  Kaspersky: Trojan-PSW.Win32.OnLineGames.ngm
   •  F-Secure: Trojan-PSW.Win32.OnLineGames.ngm
   •  Grisoft: Worm/AutoRun.Y
   •  Eset: Win32/PSW.OnLineGames.NLI
   •  Bitdefender: Trojan.PWS.OnlineGames.WME

Deteco similar:
     TR/Onlinegames.B.%nmero%


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Informao de roubos

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\amvo.exe



Envia uma cpia de si mesmo usando um nome seguinte lista:
Para: %unidade%\ Usando um dos nomes seguintes:
   • %uma srie de caracteres aleatrios%.exe
   • %uma srie de caracteres aleatrios%.bat
   • %uma srie de caracteres aleatrios%.cmd
   • %uma srie de caracteres aleatrios%.com




So criados os seguintes ficheiros:

– Ficheiros temporrios que poderam ser apagados mais tarde:
   • %TEMPDIR%\%uma srie de caracteres aleatrios%.sys
   • %TEMPDIR%\%uma srie de caracteres aleatrios%.dll

%unidade%\autorun.inf um ficheiro de texto no malicioso com o seguinte contedo:
   • %cdigo que executa malware%

%TEMPDIR%\%uma srie de caracteres aleatrios%.sys Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: RKIT/Vanti

%TEMPDIR%\%uma srie de caracteres aleatrios%.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: TR/Crypt.NSPM.Gen

%SYSDIR%\amvo0.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: TR/Crypt.NSPM.Gen

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • amva = %SYSDIR%\amvo.exe



Altera as seguintes chaves de registo do Windows:

Desactiva o Regedit e o Gestor de Tarefas:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • Hidden = %definies do utilizador %
   • ShowSuperHidden = %definies do utilizador %
   Valor recente:
   • Hidden = 2
   • ShowSuperHidden = 0

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valor anterior:
   • CheckedValue = %definies do utilizador %
   Valor recente:
   • CheckedValue = 0

 Roubos de informao Tenta roubar a seguinte informao:

As palavras-chave dos seguintes programas:
   • Maple Story
   • Lineage

 Introduo de cdigo viral noutros processos –  Introduz o seguinte ficheiro num processo: %SYSDIR%\amvo0.dll

    Nome do processo:
   • explorer.exe

   Se concluir com xito, o processo de malware termina enquanto a parte injetada permanece ativa.

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Andrei Gherman em sexta-feira, 13 de junho de 2008
Descrição atualizada por Andrei Gherman em sexta-feira, 13 de junho de 2008

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.