Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Autorun.yve
Data em que surgiu:28/01/2009
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:De baixo a mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:1.507.328 Bytes
MD5 checksum:9e004c0e96b6c033c8c9fa9a3cfaa707
Verso IVDF:7.01.01.197 - quarta-feira, 28 de janeiro de 2009

 Vulgarmente Meios de transmisso:
    Autorun feature (pt)
    Messenger


Alias:
   •  Mcafee: Generic MultiDropper.a
   •  Sophos: Mal/Generic-A
   •  Panda: W32/Autorun.IZQ
   •  Eset: Win32/AutoRun.VB.BE
   •  Bitdefender: Trojan.VB.Agent.CW


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Baixa as definies de segurana
   • Altera o registo do Windows
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizaes
   • %HOME%\Application Data\intranetexplorer.exe
   • %unidade%\.Autorun\%uma srie de caracteres aleatrios%\Autorun.exe



So criados os seguintes ficheiros:

%unidade%\.Autorun\%uma srie de caracteres aleatrios%\Desktop.ini
%unidade%\autorun.inf um ficheiro de texto no malicioso com o seguinte contedo:
   •

 Registry (Registo do Windows) Para cada chave de registo adicionado um dos seguintes valores para executar os processos depois reinicializar:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Intranet Patcher"="%home%\Application Data\intranetexplorer.exe"

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Intranet Patcher"="%home%\Application Data\intranetexplorer.exe"



adicionada a seguinte chave de registo:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%directrio de execuo do malware%\%ficheiro executado%"="%directrio de execuo do malware%\%ficheiro executado%:*:Enabled:Microsoft Intranet Patcher"

 Messenger Propaga-se atravs do Messenger. Tem as seguintes caractersticas:

 MSN Messenger
 Yahoo Messenger


Para:
Todas as entradas na lista de contactos.


Mensagem
A mensagem enviada parece-se com uma das seguintes:

   • meinst du das ernst?
     ich hoffe es gef?llt dir
     das ist geil
     bist du das?
     du bist echt sexy
     haha das ist sooo lustig
     kennst du das?
     est
     s en serio??? :S:S
     no sab
     a que te metias cosas asi :S
     esto es horrible :S
     alguien dijo que eras tu
     eres tu de verdad?
     tu eres realmente sexi ;)
     jajaja esto es muy divertido
     encontr
      esto... te resulta familiar?
     check this one
     hehe!
     i find this one really funny :)
     is this really you???
     did you take this picture?
     who is this?
      voc
      s
     rio??? :S:S
     eu n
     o soube que voc
      apreciou o material como este:S
     isto
      horr
     vel:S
     algu
     m disse que este era voc
      isto realmente voc
     voc
      realmente sexy ;)
     o hahaha isto
      t
     o engra
     ado
     eu encontrei que isto olha familiar??
     t'es serieu la?
     je savais pas que t'aimait ce genre de truc
     c'est horrible ahah
     qqn m'a dit que c'
     tait toi
     c'est vraiment toi ou!?
     lol vraiment pas mal
     hehe detta
     r roligt
     kolla det h
     haha roligt :D
     hehe gjorde du detta?
     jag visste inte att du gillade s
     nt h
     r :S
     r detta du?
     bent u ernstig??? :S:S
     ik wist niet u van materiaal als dit genoot :S
     dit is afschuwelijk :S
     iemand zei dit u was
     dit is werkelijk u?
     u bent werkelijk sexy ;)
     hahaha dit is zo grappig
     ik vond dit het? vertrouwd kijkt?
     :D
     ;)
     :D ACCEPT!
     ;)(L)
     :P
     lol
     hm?
     pic?

O URL aponta para uma cpia do malware descrito. Se o utilizador descarregar e executar este ficheiro ter incio o processo de infeco do seu computador.

 IRC Para enviar informaes do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: pptp.da**********.net
Porta: 47221
Canal #blaze
Nickname: [USA|00|XP||%nmero% ]


 Para alm disso tem a capacidade de executar as seguintes aces:
    • Download de ficheiros
    • Executa o ficheiro
     Actualiza-se a ele prprio

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 26 de fevereiro de 2010
Descrição atualizada por Petre Galan em sexta-feira, 26 de fevereiro de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.