Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Koobface.ccl
Data em que surgiu:20/10/2009
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:55.296 Bytes
MD5 checksum:a3d5881897b4cdcc4d0e19b1efe19b6d
Versão IVDF:7.01.06.129 - terça-feira, 20 de outubro de 2009

 Vulgarmente Alias:
   •  Mcafee: W32/Koobface.worm.gen.o
   •  Panda: W32/Koobface.FQ.worm
   •  Eset: Win32/Koobface.NCF
   •  Bitdefender: Win32.Worm.Koobface.ALN


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\freddy71.exe



Apaga a cópia executada inicialmente.



Elimina os seguintes ficheiros:
   • %directório de execução do malware%\sd.dat
   • %WINDIR%\dxxdv34567.bat
   • C:\3.reg



São criados os seguintes ficheiros:

%directório de execução do malware%\sd.dat
– C:\3.reg É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

%WINDIR%\freddy101.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dropper.Gen

%WINDIR%\dxxdv34567.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.
%WINDIR%\bk23567.dat



Tenta efectuar o download de alguns ficheiros:

– A partir das seguintes localizações:
   • http://poolandservices.com/**********/?action=fbgen&v=71
   • http://s159382787.onlinehome.us/**********/?action=fbgen&v=71
   • http://www.lunohod.com/**********/?action=fbgen&v=71
   • http://bellefonteband.net/**********/?action=fbgen&v=71
   • http://qatar-business-guide.net/**********/?action=fbgen&v=71
   • http://qatar-business-guide.net/**********/?action=fbgen&mode=s&a=544453496&v=71&ie=6.0.2800.1106
   • http://500instantniches.com/**********/?action=fbgen&v=101&crc=669
   • http://reishus.de/**********/?getexe=fb.101.exe
   • http://500instantniches.com/**********/?action=fbgen&mode=s&age=6&a=544453496&v=101&crc=669&ie=6.0.2800.1106
   • http://tehnocentr.chita.ru/**********/?action=fbgen&v=71
   • http://peacockalleyantiques.com/**********/?action=fbgen&v=71
Outras investigações apontam para que este ficheiro, também, seja malware.

 Registry (Registo do Windows) Os valores da seguinte chave Registo são eliminados:

–  [HKEY_USERS\S-1-5-21-2025429265-1425521274-839522115-1003\Software\
   Microsoft\Windows\CurrentVersion\Internet Settings]
   • AutoConfigURL
   • ProxyOverride
   • ProxyServer



Altera as seguintes chaves de registo do Windows:

– [HKEY_USERS\S-1-5-21-2025429265-1425521274-839522115-1003\Software\
   Microsoft\Windows\CurrentVersion\Internet Settings]
   Valor recente:
   • "MigrateProxy"=dword:0x00000001
   • "ProxyEnable"=dword:0x00000000

– [HKLM\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Valor recente:
   • "ProxyEnable"=dword:0x00000000

 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa num processo.

    Nome do processo:
   • regedit.exe


 Informações diversas  Procura uma ligação de internet contactando o seguinte web site:
   • http://www.google.com

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em terça-feira, 23 de fevereiro de 2010
Descrição atualizada por Petre Galan em terça-feira, 23 de fevereiro de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.