VírusTR/PWS.94208.2
Data em que surgiu:07/09/2009
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:94.208 Bytes
MD5 checksum:bab4884c5d0240b3882d725297043609
Versão IVDF:7.01.05.212 - segunda-feira, 7 de setembro de 2009

 Vulgarmente Meio de transmissão:
• Autorun feature (pt)


Alias:
   •  Mcafee: W32/Autorun.worm.h virus
   •  Panda: W32/Autorun.JEY
   •  Eset: Win32/AutoRun.VB.FX
   •  Bitdefender: Worm.Generic.83904


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %unidade%\Read1st!.exe
   • %unidade%\%todas as pastas%.exe



São criados os seguintes ficheiros:

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

%WINDIR%\shutdown.dll

 Registry (Registo do Windows)  As seguintes chaves de registo e todos os valores são eliminados:
   • [HKLM\SYSTEM\CurrentControlSet\Services\COMSysApp]
   • [HKLM\SYSTEM\CurrentControlSet\Services\SwPrv]
   • [HKLM\SYSTEM\CurrentControlSet\Services\TPAutoConnSvc]



O seguinte valor do registo é alterado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
   Valor recente:
   • "DisableSR"=dword:0x00000000
   • "RestoreDiskSpaceError"=dword:0x00000000

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em segunda-feira, 14 de dezembro de 2009
Descrição atualizada por Petre Galan em segunda-feira, 14 de dezembro de 2009

Voltar . . . .