Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Autorun.zus
Data em que surgiu:11/02/2009
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:Baixo
Nvel de risco:De baixo a mdio
Ficheiro esttico:Sim
Tamanho:24.660 Bytes
MD5 checksum:6eb4806dbb5dee97e4826c709a25ab1c
Verso IVDF:7.01.02.07 - quarta-feira, 11 de fevereiro de 2009

 Vulgarmente Meio de transmisso:
    Autorun feature (pt)


Alias:
   •  Mcafee: W32/Autorun.worm.ex
   •  Sophos: W32/Autorun-AKF
   •  Panda: W32/Autorun.IST.worm
   •  Eset: Win32/AutoRun.Agent.JA
   •  Bitdefender: Trojan.Agent.AMQO


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Bloqueia o acesso a determinados Web sites
   • Bloqueia o acesso a Web sites de segurana
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localizao:
   • %unidade%\recycle.{%CLSID%}



Copia-se a si prprio para a seguinte localizao. So adicionados caracteres aleatrios no final do ficheiro para ser diferente do original.
   • %WINDIR%\ini\ini.exe



Altera o contedo de um ficheiro.
%SYSDIR%\drivers\etc\hosts



So criados os seguintes ficheiros:

%WINDIR%\ini\desktop.ini
%unidade%\autorun.inf um ficheiro de texto no malicioso com o seguinte contedo:
   •

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%WINDIR%\Tasks\װ.bat Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.zus

%WINDIR%\ini\shit.vbs Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: TR/Script.11167

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\admcgi\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\TextConv\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\VGX\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\bin\1033\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\bots\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\DAO\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\_vti_bin\_vti_adm\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\servsupp\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\admcgi\scripts\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\admisapi\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\Stationery\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\isapi\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\bin\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_aut\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\_vti_bin\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\Speech\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_adm\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\Triedit\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\MSInfo\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\_vti_bin\_vti_aut\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%WINDIR%\ini\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\Speech\1033\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\admisapi\scripts\wsock32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Autorun.nvc




Tenta efectuar o download de alguns ficheiros:

A partir da seguinte localizao:
   • http://w.wonthe.cn/**********
Ainda em fase de pesquisa.

A partir da seguinte localizao:
   • http://w.ssddffgg.cn/d6/**********?mac=zdbPkhsylw&ver=1.3
Ainda em fase de pesquisa.

 Registry (Registo do Windows) Os valores da seguinte chave Registo so eliminados:

–  [HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings]
   • ActiveDebugging
   • DisplayLogo
   • SilentTerminate
   • UseWINSAFER



adicionada a seguinte chave de registo:

[HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}]
   • "@"="windir"
   • "stubpath"="%WINDIR%\ini\shit.vbs"

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alteraes:

Neste caso valores existentes sero alterados.

O acesso aos seguintes domnios bloqueado:
   • 127.0.0.1 www.360.cn; 127.0.0.1 www.360safe.cn; 127.0.0.1
      www.360safe.com; 127.0.0.1 www.chinakv.com; 127.0.0.1
      www.rising.com.cn; 127.0.0.1 rising.com.cn; 127.0.0.1 dl.jiangmin.com;
      127.0.0.1 jiangmin.com; 127.0.0.1 www.jiangmin.com; 203.208.37.99
      www.duba.net; 127.0.0.1 www.eset.com.cn; 127.0.0.1 www.nod32.com;
      203.208.37.99 shadu.duba.net; 203.208.37.99 union.kingsoft.com;
      127.0.0.1 www.kaspersky.com.cn; 127.0.0.1 kaspersky.com.cn; 127.0.0.1
      virustotal.com; 127.0.0.1 www.kaspersky.com; 127.0.0.1 60.210.176.251;
      127.0.0.1 www.cnnod32.cn; 127.0.0.1 www.lanniao.org; 127.0.0.1
      www.nod32club.com; 127.0.0.1 www.dswlab.com; 127.0.0.1 bbs.sucop.com;
      127.0.0.1 www.virustotal.com; 127.0.0.1 tool.ikaka.com; 127.0.0.0
      360.qihoo.com; 127.0.0.1 qihoo.com; 127.0.0.1 www.qihoo.com; 127.0.0.1
      www.qihoo.cn; 127.0.0.1 124.40.51.17; 127.0.0.1 58.17.236.92


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 26 de fevereiro de 2010
Descrição atualizada por Petre Galan em segunda-feira, 1 de março de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.