Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Autorun.bgjc
Data em que surgiu:03/05/2010
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:118.784 Bytes
MD5 checksum:5507d7602b6afb61dbd8787e9a16e80c
Versão IVDF:7.10.07.21 - segunda-feira, 3 de maio de 2010

 Vulgarmente Meio de transmissão:
   • Recurso de execução automática


Alias:
   •  Sophos: Mal/VBInject-T
   •  Panda: W32/IRCbot.CXC
   •  Eset: Win32/Boberog.AQ
   •  Bitdefender: Trojan.Generic.KD.8011


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizações
   • %TEMPDIR%\lssas.exe
   • %unidade%\TRASH\DFG-2352-66235-2352322-634621321-6662355\365345.exe



São criados os seguintes ficheiros:

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

%unidade%\TRASH\DFG-2352-66235-2352322-634621321-6662355\Desktop.ini



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • netsh firewall add allowedprogram %TEMPDIR%\lssas.exe WindowsSafety ENABLE


– Executa um dos seguintes ficheiros:
   • taskkill /IM winlog.exe


– Executa um dos seguintes ficheiros:
   • taskkill /IM svchost.exe


– Executa um dos seguintes ficheiros:
   • taskkill /IM csrss.exe


– Executa um dos seguintes ficheiros:
   • taskkill /IM lsass.exe


– Executa um dos seguintes ficheiros:
   • "%TEMPDIR%\lssas.exe"

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater"="%TEMPDIR%\lssas.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater"="%TEMPDIR%\lssas.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "MicrosoftCorp"="%TEMPDIR%\lssas.exe"



Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%TEMPDIR%\lssas.exe"="%TEMPDIR%\lssas.exe:*:Enabled:Windows Defense"

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: stores.del**********.net
Porta: 1234
Canal #b#
Nickname: {NEW}[USA][XP-SP2]%número%

Servidor: bb.ceg**********.org
Porta: 1234
Canal #b#
Nickname: {NEW}[USA][XP-SP2]%número%

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Visual Basic.

Descrição enviada por Petre Galan em quinta-feira, 24 de junho de 2010
Descrição atualizada por Petre Galan em quinta-feira, 24 de junho de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.