VírusTR/Chinky.X
Data em que surgiu:12/02/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:69.632 Bytes
MD5 checksum:769e8b8e8cf2c396ef2ad88452f5a2f1
Versão IVDF:7.10.04.44 - sexta-feira, 12 de fevereiro de 2010

 Vulgarmente Meio de transmissão:
   • Autorun feature (pt)


Alias:
   •  Mcafee: W32/VBNA.worm
   •  Sophos: W32/Autorun-AZH
   •  Panda: Trj/Downloader.XOF
   •  Eset: Win32/AutoRun.VB.LJ
   •  Bitdefender: Trojan.VB.Chinky.AD


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros São criados os seguintes ficheiros:

%unidade%\Passwords .lnk É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

%unidade%\New Folder .lnk É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

%unidade%\Pictures .lnk É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

%unidade%\Video .lnk É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

%unidade%\Documents .lnk É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

%unidade%\Music .lnk É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

%unidade%\luirih.scr Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Chinky.X

– %HOME%\luirih.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Chinky.X

%unidade%\luirih.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Chinky.X




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • "%HOME%\luirih.exe"

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "luirih"="%HOME%\luirih.exe"



Altera as seguintes chaves de registo do Windows:

Desactiva o Regedit e o Gestor de Tarefas:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Shell Folders]
   Valor recente:
   • "Common Desktop"="%ALLUSERSPROFILE%\Desktop"
   • "Common Documents"="%ALLUSERSPROFILE%\Documents"
   • "Common Start Menu"="%ALLUSERSPROFILE%\Start Menu"
   • "CommonMusic"="%ALLUSERSPROFILE%\Documents\My Music"
   • "CommonPictures"="%ALLUSERSPROFILE%\Documents\My Pictures"
   • "CommonVideo"="%ALLUSERSPROFILE%\Documents\My Videos"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor recente:
   • "ShowSuperHidden"=dword:0x00000000

 Backdoor É aberta a seguinte porta:

– ns2.the**********.net numa porta TCP 8002

 Introdução de código viral noutros processos – Introduz uma rotina Backdoor num processo.

It is injected into all processes. (pt)


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.


Encryption: (pt)
File is encrypted (pt)

Infector polymorphic (pt)

Descrição enviada por Petre Galan em quarta-feira, 12 de maio de 2010
Descrição atualizada por Petre Galan em quarta-feira, 12 de maio de 2010

Voltar . . . .