Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusBDS/WinO.A
Data em que surgiu:09/03/2010
Tipo:Servidor Backdoor
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:Baixo
Nvel de risco:De baixo a mdio
Ficheiro esttico:Sim
Tamanho:63.639 Bytes
MD5 checksum:463f93ee63271f385e100aafb53f7790
Verso IVDF:7.10.05.08 - terça-feira, 9 de março de 2010

 Vulgarmente Alias:
   •  Mcafee: Nebuler.b
   •  Bitdefender: Trojan.Generic.3563493


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Apaga a cpia executada inicialmente.



Elimina o seguinte ficheiro:
   • %TEMPDIR%\fig24.tmp



So criados os seguintes ficheiros:

%TEMPDIR%\fig24.bat
%SYSDIR%\win32.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: TR/Spy.Gen

%TEMPDIR%\fig24.tmp Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: TR/Spy.Gen

"%directrio de execuo do malware%\%executed file.bat%"



Tenta efectuar o download do ficheiro:

A partir das seguintes localizaes:
   • http://oberaufseher.net/img/**********?c=I0&v=22&b=1012&id=&cnt=ENU&q=1D0D8F
   • http://tubestock.net/img/**********?c=I0&v=22&b=1013&id=&cnt=ENU&q=1C74F9




Tenta executar o seguinte ficheiro:

Executa um dos seguintes ficheiros:
   • cmd /c start iexplore -embedding


Executa um dos seguintes ficheiros:
   • "%PROGRAM FILES%\Internet Explorer\iexplore.exe" -embedding


Executa um dos seguintes ficheiros:
   • cmd /c "%TEMPDIR%\fig24.bat"


Executa um dos seguintes ficheiros:
   • cmd /c "%directrio de execuo do malware%\%executed file.bat%"

 Registry (Registo do Windows) Um dos seguintes valores adicionado para executar o processo depois reinicializar:

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   win32]
   • "Asynchronous"=dword:0x00000001
   • "DllName"="win32.dll"
   • "Impersonate"=dword:0x00000000
   • "Shutdown"="PJOPCufsu"
   • "Startup"="UfVTjtHHISS"



Altera as seguintes chaves de registo do Windows:

[HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Valor recente:
   • "Locked"=dword:0x00000000

[HKLM\SOFTWARE\Microsoft\MSSMGR]
   Valor recente:
   • "Brnd"=dword:0x000003f4
   • "Data"=dword:0x097fe351
   • "LSTV"=hex:DA,07,04,00,02,00,06,00,07,00,1B,00,23,00,6D,02
   • "PSTV"=hex:DA,07,04,00,02,00,06,00,07,00,1B,00,2E,00,B5,03

 Introduo de cdigo viral noutros processos Introduz-se a si prprio como uma tarefa remota num processo.

    Nome do processo:
   • explorer.exe


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em terça-feira, 6 de abril de 2010
Descrição atualizada por Petre Galan em terça-feira, 6 de abril de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.