Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Autorun.bgjc
Data em que surgiu:03/05/2010
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:De baixo a mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:118.784 Bytes
MD5 checksum:5507d7602b6afb61dbd8787e9a16e80c
Verso IVDF:7.10.07.21 - segunda-feira, 3 de maio de 2010

 Vulgarmente Meio de transmisso:
    Recurso de execuo automtica


Alias:
   •  Sophos: Mal/VBInject-T
   •  Panda: W32/IRCbot.CXC
   •  Eset: Win32/Boberog.AQ
   •  Bitdefender: Trojan.Generic.KD.8011


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Baixa as definies de segurana
   • Altera o registo do Windows
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizaes
   • %TEMPDIR%\lssas.exe
   • %unidade%\TRASH\DFG-2352-66235-2352322-634621321-6662355\365345.exe



So criados os seguintes ficheiros:

%unidade%\autorun.inf um ficheiro de texto no malicioso com o seguinte contedo:
   •

%unidade%\TRASH\DFG-2352-66235-2352322-634621321-6662355\Desktop.ini



Tenta executar o seguinte ficheiro:

Executa um dos seguintes ficheiros:
   • netsh firewall add allowedprogram %TEMPDIR%\lssas.exe WindowsSafety ENABLE


Executa um dos seguintes ficheiros:
   • taskkill /IM winlog.exe


Executa um dos seguintes ficheiros:
   • taskkill /IM svchost.exe


Executa um dos seguintes ficheiros:
   • taskkill /IM csrss.exe


Executa um dos seguintes ficheiros:
   • taskkill /IM lsass.exe


Executa um dos seguintes ficheiros:
   • "%TEMPDIR%\lssas.exe"

 Registry (Registo do Windows) So adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater"="%TEMPDIR%\lssas.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater"="%TEMPDIR%\lssas.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "MicrosoftCorp"="%TEMPDIR%\lssas.exe"



Cria a seguinte entrada de forma a fazer um bypass firewall do Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%TEMPDIR%\lssas.exe"="%TEMPDIR%\lssas.exe:*:Enabled:Windows Defense"

 IRC Para enviar informao do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: stores.del**********.net
Porta: 1234
Canal #b#
Nickname: {NEW}[USA][XP-SP2]%nmero%

Servidor: bb.ceg**********.org
Porta: 1234
Canal #b#
Nickname: {NEW}[USA][XP-SP2]%nmero%

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em Visual Basic.

Descrição enviada por Petre Galan em quinta-feira, 24 de junho de 2010
Descrição atualizada por Petre Galan em quinta-feira, 24 de junho de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.