Full description

Vírus	TR/FakeAV.LBQ
Data em que surgiu:	19/07/2010
Tipo:	Trojan
Incluído na lista "In The Wild"	Sim
Nível de danos:	Baixo
Nível de distribuição:	Médio
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	45.568 Bytes
MD5 checksum:	d7c2473852f25cc0a06094d9e9130Fac
Versão IVDF:	7.10.09.110 - segunda-feira, 19 de julho de 2010

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Kaspersky: Backdoor.Win32.TDSS.ur
   • F-Secure: Trojan.FakeAV.LBQ
   • Sophos: Mal/TDSSPk-AD
   • Bitdefender: Trojan.FakeAV.LBQ
   • Microsoft: Trojan:Win32/Meredrop
   • AVG: Agent2.AZMO
   • VirusBuster: Trojan.Meredrop.ABKU
   • Eset: Win32/Olmarik.ABS
   • Sunbelt: Trojan.Win32.Meredrop
   • GData: Trojan.FakeAV.LBQ
   • AhnLab: Backdoor/Win32.TDSS
   • DrWeb: Trojan.PWS.IpDiscover.17
   • Ikarus: Trojan.Win32.Meredrop

Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7

Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Redireciona para um site infectado

Ficheiros Autocopia-se para a seguinte localização:
• %APPDATA%\b3bfd04c.exe

São criados os seguintes ficheiros:

– %SYSDIR%\spool\prtprocs\w32x86\17wSKU.dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/FakeAV.LBQ

– %WINDIR%\Tasks\b3bfd04c.job
– %SYSDIR%\ernel32.dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/FakeAV.LBQ

Registry (Registo do Windows) Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valor anterior:
   • "UacDisableNotify"=dword:00000000
   Valor recente:
   • "UacDisableNotify"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
   Valor anterior:
   • "NameServer"="%endereço IP%"
   • "DhcpNameServer"="%endereço IP%"
   Valor recente:
   • "NameServer"="93.188.163.235,93.188.166.215"
   • "DhcpNameServer"="93.188.163.235,93.188.166.215"

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\
   %CLSID%
   Valor anterior:
   • "NameServer"="%endereço IP%"
   • "DhcpNameServer"="%endereço IP%"
   Valor recente:
   • "NameServer"="93.188.163.235,93.188.166.215"
   • "DhcpNameServer"="93.188.163.235,93.188.166.215"

Introdução de código viral noutros processos – É injetado automaticamente nos processos.

    Todos os processos que se seguem:
   • spoolsv.exe
   • svchost.exe

Descrição enviada por Patrick Schoenherr em segunda-feira, 26 de julho de 2010
Descrição atualizada por Patrick Schoenherr em segunda-feira, 26 de julho de 2010

Voltar . . . .