Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Koobface.57344D
Data em que surgiu:12/01/2010
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:Baixo
Nvel de risco:De baixo a mdio
Ficheiro esttico:Sim
Tamanho:57.344 Bytes
MD5 checksum:79ba29c855c1d0a2f16f7760cb7a3ad2
Verso IVDF:7.10.02.175 - terça-feira, 12 de janeiro de 2010

 Vulgarmente Alias:
   •  Mcafee: W32/Koobface.worm.gen.o
   •  Panda: W32/Koobface.FQ.worm
   •  Eset: Win32/Koobface.NCF
   •  Bitdefender: Trojan.Generic.2583495


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localizao:
   • %WINDIR%\freddy70.exe



Apaga a cpia executada inicialmente.



Elimina os seguintes ficheiros:
   • %directrio de execuo do malware%\sd.dat
   • %WINDIR%\dxxdv34567.bat
   • C:\3.reg



So criados os seguintes ficheiros:

%directrio de execuo do malware%\sd.dat
C:\3.reg um ficheiro de texto no malicioso com o seguinte contedo:
   •

%WINDIR%\dxxdv34567.bat Alm disso executa-se depois de gerado. Este ficheiro de processamento em lote usado para apagar um ficheiro.
%WINDIR%\bk23567.dat



Tenta efectuar o download de alguns ficheiros:

A partir das seguintes localizaes:
   • http://orangery.nezhin.com/**********/?action=fbgen&v=70
   • http://crescenthorizons.com/**********/?action=fbgen&v=70
   • http://momentsbypat.com/**********/?action=fbgen&v=70
   • http://tehnocentr.chita.ru/**********/?action=fbgen&v=70
   • http://gvpschekschov.iv-edu.ru/**********/?action=fbgen&v=70
   • http://uitgehuild.nl/**********/?action=fbgen&v=70
   • http://www.magnaniwines.com/**********/?action=fbgen&v=70
   • http://kalender.sttmedia.se/**********/?action=fbgen&v=70
   • http://genesiskdmparts.com/**********/?action=fbgen&v=70
   • http://agribasal-me.com/**********/?action=fbgen&a=544453496&v=70&ie=6.0.2800.1106
   • http://agribasal-me.com/**********/?action=fbgen&v=70
   • http://jgreininghorses.com/**********/?action=fbgen&v=70
   • http://chrislobue.com/**********/?action=fbgen&v=70
   • http://mcleanlocksmith.com/**********/?action=fbgen&v=70
   • http://qualityrecords.com.au/**********/?action=fbgen&v=70
   • http://fredericia-stavgang.dk/**********/?action=fbgen&v=70
   • http://web.reg.md/**********/?action=fbgen&v=70
   • http://zu.ktk.ru/**********/?action=fbgen&v=70
   • http://cubman32.net.ua/**********/?action=fbgen&v=70
   • http://billig-bauer.de/**********/?action=fbgen&v=70
   • http://cmpmiami.com/**********/?action=fbgen&v=70
   • http://videoleverage.com/**********/?action=fbgen&v=70
   • http://www.Germanamericantax.com/**********/?action=fbgen&v=70
Ainda em fase de pesquisa.

 Registry (Registo do Windows) Os valores da seguinte chave Registo so eliminados:

–  [HKEY_USERS\S-1-5-21-2025429265-1425521274-839522115-1003\Software\
   Microsoft\Windows\CurrentVersion\Internet Settings]
   • AutoConfigURL
   • ProxyOverride
   • ProxyServer



Altera as seguintes chaves de registo do Windows:

[HKEY_USERS\S-1-5-21-2025429265-1425521274-839522115-1003\Software\
   Microsoft\Windows\CurrentVersion\Internet Settings]
   Valor recente:
   • "MigrateProxy"=dword:0x00000001
   • "ProxyEnable"=dword:0x00000000

[HKLM\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Valor recente:
   • "ProxyEnable"=dword:0x00000000

 Informaes diversas  Procura uma ligao de internet contactando o seguinte web site:
   • www.google.com

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em terça-feira, 23 de fevereiro de 2010
Descrição atualizada por Petre Galan em terça-feira, 23 de fevereiro de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.