Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Autorun.ZZA
Data em que surgiu:24/07/2009
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:282.565 Bytes
MD5 checksum:ea072faa2d9596905c94c2effe952c5b
Versão IVDF:7.01.05.28 - sexta-feira, 24 de julho de 2009

 Vulgarmente Meio de transmissão:
• Autorun feature (pt)


Alias:
   •  Mcafee: W32/Autorun.worm.c virus
   •  Sophos: W32/Autoit-GH
   •  Eset: Win32/AutoRun.Autoit.BU
   •  Bitdefender: Win32.Worm.Autoit.DK


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %HOME%\Start Menu\Programs\Startup\sndvol32.exe
   • %TEMPDIR%\svchost.com
   • %HOME%\Templates\cache\vmx.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\sndvol32.exe
   • %SYSDIR%\fdisk.com
   • %unidade%\Thumbs.db



São criados os seguintes ficheiros:

– %HOME%\Templates\cache\desktop.ini
– %HOME%\Templates\cache\$RECYCLE.BIN\{5F229C11-5039-40E4-8537-6950BB1C9ECC}\desktop.ini
%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

%TEMPDIR%\$RECYCLE.BIN\{5F229C11-5039-40E4-8537-6950BB1C9ECC}\desktop.ini
– %recycle bin%\{5F229C11-5039-40E4-8537-6950BB1C9ECC}\desktop.ini
– %recycle bin%\{5F229C11-5039-40E4-8537-6950BB1C9ECC}\temp.db
– %HOME%\Templates\cache\$RECYCLE.BIN\{5F229C11-5039-40E4-8537-6950BB1C9ECC}\temp.db
– %HOME%\Templates\cache\$RECYCLE.BIN\{5F229C11-5039-40E4-8537-6950BB1C9ECC}\tmp.db
– %recycle bin%\{5F229C11-5039-40E4-8537-6950BB1C9ECC}\tmp.db
%TEMPDIR%\$RECYCLE.BIN\{5F229C11-5039-40E4-8537-6950BB1C9ECC}\tmp.db
%TEMPDIR%\$RECYCLE.BIN\{5F229C11-5039-40E4-8537-6950BB1C9ECC}\temp.db



Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://https.ath.cx/Files/**********
Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://https.ath.cx/Files/**********
Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://neothedm.isa-geek.org/Files/**********
Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://neothedm.isa-geek.org/**********
Ainda em fase de pesquisa.

 Registry (Registo do Windows) Para cada chave de registo é adicionado um dos seguintes valores para executar os processos depois reinicializar:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "HotKey"="%HOME%\Templates\cache\vmx.exe"
   • "User Agent"="%TEMPDIR%\svchost.com"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "HotKey"="%HOME%\Templates\cache\vmx.exe"
   • "User Agent"="%SYSDIR%\fdisk.com"



São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   • "debugger"="notepad"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\USBGUARD.EXE]
   • "debugger"="notepad"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\VPTRAY.EXE]
   • "debugger"="notepad"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\pctstray.exe]
   • "debugger"="notepad"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\AVGNT.EXE]
   • "debugger"="notepad"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\AVP.EXE]
   • "debugger"="notepad"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\mmc.exe]
   • "debugger"="notepad"

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\System]
   • "DisableGPO"=dword:0x00000001

– [HKCU\Software\vlad]
   • "iminf"="2.0.0.2"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   • "debugger"="notepad"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\pctsgui.exe]
   • "debugger"="notepad"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ashdisp.exe]
   • "debugger"="notepad"



Altera as seguintes chaves de registo do Windows:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Valor recente:
   • "GlobalUserOffline"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor recente:
   • "Hidden"=dword:0x00000002
   • "HideFileExt"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor recente:
   • "Shell"="explorer.exe %SYSDIR%\fdisk.com"
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\fdisk.com"

– [HKCU\Software\Microsoft\Windows\CurrentVersion]
   Valor recente:
   • "LocalProxy"="-1"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Valor recente:
   • "load"="%TEMPDIR%\svchost.com"
   • "run"="%TEMPDIR%\svchost.com"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor recente:
   • "NofolderOptions"=dword:0x00000001

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em segunda-feira, 14 de dezembro de 2009
Descrição atualizada por Petre Galan em segunda-feira, 14 de dezembro de 2009

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.