Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Kolab.fhi.3
Data em que surgiu:09/12/2009
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:196.096 Bytes
MD5 checksum:d93c0dea37ebfacb9d475085b712fad0
Versão IVDF:7.10.01.206 - quarta-feira, 9 de dezembro de 2009

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Panda: W32/Kolabc.AW.worm
   •  Eset: Win32/Delf.OXF
   •  Bitdefender: IRC-Worm.Generic.8682


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\msvmcls64.exe




Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://93.174.95.145/spm/**********?id=%número% &tick=%número% &ver=486&smtp=


– A partir da seguinte localização:
   • http://93.174.95.145/spm/**********?task=%número% &id=%número%

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "MS Virtual CLS"="%SYSDIR%\msvmcls64.exe"



É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS]
   • "host"="93.174.95.145"
   • "id"="23318476078427455795981961071089"
   • "ii"="1"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.


Corpo:
– Contém código HTML.


Atalho:

O ficheiro de atalho é uma cópia do malware.

 Mailing MX Server:
Tem capacidade para contactar um dos seguintes servidores MX:
   • hotmail.com
   • yahoo.com
   • aol.com
   • google.com
   • mail.com

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quarta-feira, 31 de março de 2010
Descrição atualizada por Petre Galan em quarta-feira, 31 de março de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.