Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Autorun.dcm
Data em que surgiu:27/03/2008
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:De baixo a mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:13.824 Bytes
MD5 checksum:7e924990480D44af6a239329b2e682cb
Verso VDF:7.00.03.77
Verso IVDF:7.00.03.82 - quinta-feira, 27 de março de 2008

 Vulgarmente Meio de transmisso:
   • Unidade de rede


Alias:
   •  Kaspersky: Worm.Win32.AutoRun.dcm
   •  F-Secure: Worm.Win32.AutoRun.dcm
   •  Grisoft: Worm/Generic.GRV
   •  Eset: Win32/AutoRun.KS
   •  Bitdefender: Win32.Worm.TQW


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros
   • Altera o registo do Windows
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizaes
   • %lixeira%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe
   • %unidade%:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe



So criados os seguintes ficheiros:

Ficheiro no malicioso:
   • %lixeira%\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

%unidade%\autorun.inf um ficheiro de texto no malicioso com o seguinte contedo:
   • %cdigo que executa malware%

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKLM\Software\Microsoft\Active Setup\Installed Components\
   {08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
   • StubPath="%lixeira%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe"

 IRC Para enviar informaes do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: tassweq.com
Porta: 7000
Palavra-chave do servidor: trb123trb
Canal #alhailam
Nickname: %uma srie de caracteres aleatrios%


 Para alm disso tem a capacidade de executar as seguintes aces:
     Liga-se ao servidor de IRC
     Lana DDoS SYN floods
     Lana DDoS UDP floods
    • Ligao ao canal IRC

 Introduo de cdigo viral noutros processos Introduz-se a si prprio como uma tarefa remota num processo.

    Nome do processo:
   • EXPLORER.EXE

   Se concluir com xito, o processo de malware termina enquanto a parte injetada permanece ativa.

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Ana Maria Niculescu em sexta-feira, 13 de junho de 2008
Descrição atualizada por Andrei Gherman em quinta-feira, 31 de julho de 2008

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.