Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Joleee.egn
Data em que surgiu:13/11/2009
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:21.504 Bytes
MD5 checksum:099db8e1dd71632eb35648eec3c31778
Versão IVDF:7.01.06.231 - sexta-feira, 13 de novembro de 2009

 Vulgarmente Alias:
   •  Panda: W32/Joleee.Z.worm
   •  Eset: Win32/SpamTool.Tedroo.AB
   •  Bitdefender: Trojan.Generic.2674731


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Altera o conteúdo dos ficheiros seguintes.
%WINDIR%\explorer.exe
%SYSDIR%\dllcache\explorer.exe



É criado o seguinte ficheiro:

%TEMPDIR%\fhrqisgx.tmp



Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://195.190.13.130/spm/**********?id=1125796&tick=1125796&ver=101&smtp=ok&task=0
Outras investigações apontam para que este ficheiro, também, seja malware.

– A partir da seguinte localização:
   • http://195.190.13.130/spm/**********
Outras investigações apontam para que este ficheiro, também, seja malware.

 Registry (Registo do Windows) Para cada chave de registo é adicionado um dos seguintes valores para executar os processos depois reinicializar:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"



São adicionadas as seguintes chaves ao registo:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"



O seguinte valor do registo é alterado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Valor recente:
   • "remove"="%ficheiro executado%"

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quinta-feira, 11 de março de 2010
Descrição atualizada por Petre Galan em sexta-feira, 12 de março de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.