Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Autorun.yve
Data em que surgiu:28/01/2009
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:1.507.328 Bytes
MD5 checksum:9e004c0e96b6c033c8c9fa9a3cfaa707
Versão IVDF:7.01.01.197 - quarta-feira, 28 de janeiro de 2009

 Vulgarmente Meios de transmissão:
   • Autorun feature (pt)
   • Messenger


Alias:
   •  Mcafee: Generic MultiDropper.a
   •  Sophos: Mal/Generic-A
   •  Panda: W32/Autorun.IZQ
   •  Eset: Win32/AutoRun.VB.BE
   •  Bitdefender: Trojan.VB.Agent.CW


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizações
   • %HOME%\Application Data\intranetexplorer.exe
   • %unidade%\.Autorun\%uma série de caracteres aleatórios%\Autorun.exe



São criados os seguintes ficheiros:

%unidade%\.Autorun\%uma série de caracteres aleatórios%\Desktop.ini
%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

 Registry (Registo do Windows) Para cada chave de registo é adicionado um dos seguintes valores para executar os processos depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Intranet Patcher"="%home%\Application Data\intranetexplorer.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Intranet Patcher"="%home%\Application Data\intranetexplorer.exe"



É adicionada a seguinte chave de registo:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%directório de execução do malware%\%ficheiro executado%"="%directório de execução do malware%\%ficheiro executado%:*:Enabled:Microsoft Intranet Patcher"

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– MSN Messenger
– Yahoo Messenger


Para:
Todas as entradas na lista de contactos.


Mensagem
A mensagem enviada parece-se com uma das seguintes:

   • meinst du das ernst?
     ich hoffe es gef?llt dir
     das ist geil
     bist du das?
     du bist echt sexy
     haha das ist sooo lustig
     kennst du das?
     est
     s en serio??? :S:S
     no sab
     a que te metias cosas asi :S
     esto es horrible :S
     alguien dijo que eras tu
     eres tu de verdad?
     tu eres realmente sexi ;)
     jajaja esto es muy divertido
     encontr
      esto... te resulta familiar?
     check this one
     hehe!
     i find this one really funny :)
     is this really you???
     did you take this picture?
     who is this?
      voc
      s
     rio??? :S:S
     eu n
     o soube que voc
      apreciou o material como este:S
     isto
      horr
     vel:S
     algu
     m disse que este era voc
      isto realmente voc
     voc
      realmente sexy ;)
     o hahaha isto
      t
     o engra
     ado
     eu encontrei que isto olha familiar??
     t'es serieu la?
     je savais pas que t'aimait ce genre de truc
     c'est horrible ahah
     qqn m'a dit que c'
     tait toi
     c'est vraiment toi ou!?
     lol vraiment pas mal
     hehe detta
     r roligt
     kolla det h
     haha roligt :D
     hehe gjorde du detta?
     jag visste inte att du gillade s
     nt h
     r :S
     r detta du?
     bent u ernstig??? :S:S
     ik wist niet u van materiaal als dit genoot :S
     dit is afschuwelijk :S
     iemand zei dit u was
     dit is werkelijk u?
     u bent werkelijk sexy ;)
     hahaha dit is zo grappig
     ik vond dit het? vertrouwd kijkt?
     :D
     ;)
     :D ACCEPT!
     ;)(L)
     :P
     lol
     hm?
     pic?

O URL aponta para uma cópia do malware descrito. Se o utilizador descarregar e executar este ficheiro terá início o processo de infecção do seu computador.

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: pptp.da**********.net
Porta: 47221
Canal #blaze
Nickname: [USA|00|XP||%número% ]


– Para além disso tem a capacidade de executar as seguintes acções:
    • Download de ficheiros
    • Executa o ficheiro
    • Actualiza-se a ele próprio

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 26 de fevereiro de 2010
Descrição atualizada por Petre Galan em sexta-feira, 26 de fevereiro de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.