Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Inject.81409.BI
Data em que surgiu:22/04/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:81.409 Bytes
MD5 checksum:b2dfa22025a1043e3a12837222f6753f
Versão IVDF:7.10.06.171 - quinta-feira, 22 de abril de 2010

 Vulgarmente Alias:
   •  Sophos: Troj/Delf-FEP
   •  Panda: W32/IRCbot.CXC
   •  Eset: Win32/Boberog.AQ
   •  Bitdefender: Trojan.Generic.KD.8165


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %TEMPDIR%\nvdis.exe



É criado o seguinte ficheiro:

%TEMPDIR%\google_cache112.tmp



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • netsh firewall add allowedprogram %TEMPDIR%\nvdis.exe WindowsSafety ENABLE


– Executa um dos seguintes ficheiros:
   • taskkill /IM winlog.exe


– Executa um dos seguintes ficheiros:
   • taskkill /IM svchost.exe


– Executa um dos seguintes ficheiros:
   • taskkill /IM csrss.exe


– Executa um dos seguintes ficheiros:
   • taskkill /IM lsass.exe


– Executa um dos seguintes ficheiros:
   • "%TEMPDIR%\nvdis.exe"

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater"="%TEMPDIR%\nvdis.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater"="%TEMPDIR%\nvdis.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "MicrosoftCorp"="%TEMPDIR%\nvdis.exe"

–  [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %TEMPDIR%\nvdis.exe

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: rix.mes**********.su
Porta: 1234
Canal #l#
Nickname: {NEW}[USA][XP-[EN]%Versão do Windows%]%número%

 Terminar o processo A seguinte lista de processos são terminados:
   • winlog.exe
   • svchost.exe
   • csrss.exe
   • lsass.exe


 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Delphi.

Descrição enviada por Petre Galan em terça-feira, 6 de julho de 2010
Descrição atualizada por Petre Galan em terça-feira, 6 de julho de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.