Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Agent.aap
Data em que surgiu:15/04/2010
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:607.744 Bytes
MD5 checksum:5b476a304acd0a22b28264d8876d4989
Versão VDF:7.10.02.159
Versão IVDF:7.10.06.108 - quinta-feira, 15 de abril de 2010

 Vulgarmente Meios de transmissão:
   • Recurso de execução automática
   • E-mail
   • Peer to Peer


Alias:
   •  Bitdefender: Worm.Generic.235118
   •  Panda: W32/P2PShared.U
   •  Eset: Win32/Merond.O


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Baixa as definições de segurança
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\Googleuy.exe
   • %unidade%\RECYCLER\%CLSID%\redmond.exe



Elimina o seguinte ficheiro:
   • %SYSDIR%\rundll31.exe



São criados os seguintes ficheiros:

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%unidade%\RECYCLER\%CLSID%\Desktop.ini
%PROGRAM FILES%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: JS/Dursg.B

%SYSDIR%\runocx13.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Buzus.HC

%PROGRAM FILES%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest
%PROGRAM FILES%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf
%SYSDIR%\rundll31.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Prolaco.212992.E

– %HOME%\Application Data\SystemProc\lsass.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Prolaco.212992.E




Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://controllrequest.com/**********?aid=%caracteres%


– A partir da seguinte localização:
   • http://dominatorcontroll.com/**********?pop=%número% &aid&sid&key


– A partir da seguinte localização:
   • http://stepandomain.com/**********?aid=%caracteres%&ver=%número%


– A partir da seguinte localização:
   • http://controllrequest.com/**********?sd=%caracteres%&aid=%caracteres%




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • "%SYSDIR%\rundll31.exe"


– Executa um dos seguintes ficheiros:
   • "%SYSDIR%\runocx13.exe"


– Executa um dos seguintes ficheiros:
   • "%HOME%\Application Data\SystemProc\lsass.exe"

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater 5"="%SYSDIR%\Googleuy.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "RTHDBPL"="%HOME%\Application Data\SystemProc\lsass.exe"



Os valores da seguinte chave Registo são eliminados:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • APVXDWIN
   • AVG8_TRAY
   • AVP
   • BDAgent
   • CAVRID
   • DrWebScheduler
   • F-PROT Antivirus Tray application
   • ISTray
   • K7SystemTray
   • K7TSStart
   • McENUI
   • MskAgentexe
   • OfficeScanNT Monitor
   • RavTask
   • SBAMTray
   • SCANINICIO
   • SpIDerMail
   • Spam Blocker for Outlook Express
   • SpamBlocker
   • Windows Defender
   • avast!
   • cctray
   • egui
   • sbamui



Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\Googleuy.exe"="%SYSDIR%\Googleuy.exe:*:Enabled:Explorer"



São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "EnableLUA"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   • "tyrina7"="06"
   • "tyrina8"="24"

– [HKCU\Identities]
   • "Curr version"="%número% "
   • "Inst Date"="%data actual%"
   • "Last Date"="%data actual%"
   • "Popup count"="0"
   • "Popup date"="0"
   • "Popup time"="0"
   • "Send Inst"="ok"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
O seguinte:
   • You have received A Hallmark E-Card!



Corpo:
– Contém código HTML.


Atalho:

O ficheiro de atalho contém uma cópia do próprio malware.

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção: Procura o seguintes directórios:
   • %PROGRAM FILES%\winmx\shared\
   • %PROGRAM FILES%\tesla\files\
   • %PROGRAM FILES%\limewire\shared\
   • %PROGRAM FILES%\morpheus\my shared folder\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\edonkey2000\incoming\
   • %PROGRAM FILES%\bearshare\shared\
   • %PROGRAM FILES%\grokster\my grokster\
   • %PROGRAM FILES%\icq\shared folder\
   • %PROGRAM FILES%\kazaa lite k++\my shared folder\
   • %PROGRAM FILES%\kazaa lite\my shared folder\
   • %PROGRAM FILES%\kazaa\my shared folder\

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • YouTubeGet 5.6.exe; Youtube Music Downloader 1.3.exe; WinRAR v3.x
      keygen [by HiXem].exe; Windows2008 keygen and activator.exe; [+ MrKey
      +] Windows XP PRO Corp SP3 valid-key generator.exe; Windows Password
      Cracker + Elar3 key.exe; [Eni0j0 team] Windows 7 Ultimate keygen.exe;
      Windows 2008 Enterprise Server VMWare Virtual Machine.exe;
      Winamp.Pro.v7.xx.PowerPack.Portable+installer.exe; Website Hacker.exe;
      [Eni0j0 team] Vmvare keygen.exe; VmWare 7.x keygen.exe; UT 2003
      KeyGen.exe; Twitter FriendAdder 2.3.9.exe; Tuneup Ultilities 2010.exe;
      [antihack tool] Trojan Killer v2.9.4173.exe; Total Commander7
      license+keygen.exe; Super Utilities Pro 2009 11.0.exe; Sub7 2.5.1
      Private.exe; Sophos antivirus updater bypass.exe; sdbot with NetBIOS
      Spread.exe; [fixed]RapidShare Killer AIO 2010.exe; Rapidshare Auto
      Downloader 3.8.6.exe; Power ISO v4.4 + keygen milon.exe; [patched,
      serial not needed] PDF Unlocker v2.0.5.exePDF-XChange Pro.exe;
      [patched, serial not needed] PDF to Word Converter 3.4.exe; PDF
      password remover (works with all acrobat reader).exe; Password
      Cracker.exe; Norton Internet Security 2010 crack.exe; Norton
      Anti-Virus 2010 Enterprise Crack.exe; Norton Anti-Virus 2005
      Enterprise Crack.exe; NetBIOS Hacker.exe; NetBIOS Cracker.exe;
      [patched, serial not need] Nero 9.x keygen.exe; Myspace theme
      collection.exe; MSN Password Cracker.exe; Mp3 Splitter and Joiner Pro
      v3.48.exe; Motorola, nokia, ericsson mobil phone tools.exe;
      Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe; Microsoft
      Visual Studio KeyGen.exe; Microsoft Visual C++ KeyGen.exe; Microsoft
      Visual Basic KeyGen.exe; McAfee Total Protection 2010 [serial patch by
      AnalGin].exe; Magic Video Converter 8.exe; LimeWire Pro v4.18.3
      [Cracked by AnalGin].exe; L0pht 4.0 Windows Password Cracker.exe;
      K-Lite Mega Codec v5.2 Portable.exe; K-Lite Mega Codec v5.2.exe;
      Keylogger unique builder.exe; Kaspersky Internet Security 2010
      keygen.exe; Kaspersky AntiVirus 2010 crack.exe; IP Nuker.exe; Internet
      Download Manager V5.exe; Image Size Reducer Pro v1.0.1.exe; ICQ Hacker
      Trial version [brute].exe; Hotmail Hacker [Brute method].exe; Hotmail
      Cracker [Brute method].exe; Half-Life 2 Downloader.exe; Grand Theft
      Auto IV [Offline Activation + mouse patch].exe; Google SketchUp 7.1
      Pro.exe; G-Force Platinum v3.7.6.exe; FTP Cracker.exe; DVD Tools Nero
      10.x.x.x.exe; Download Boost 2.0.exe; Download Accelerator Plus
      v9.2.exe; Divx Pro 7.x version Keymaker.exe; DivX 5.x Pro KeyGen
      generator.exe; DCOM Exploit archive.exe; Daemon Tools Pro 4.8.exe;
      Counter-Strike Serial key generator [Miona patch].exe; CleanMyPC
      Registry Cleaner v6.02.exe; Brutus FTP Cracker.exe; Blaze DVD Player
      Pro v6.52.exe; BitDefender AntiVirus 2010 Keygen.exe; Avast 5.x
      Professional.exe; Avast 4.x Professional.exe; Ashampoo Snap 3.xx
      [Skarleot Group].exe; AOL Password Cracker.exe; AOL Instant Messenger
      (AIM) Hacker.exe; AnyDVD HD v.6.3.1.8 Beta incl crack.exe; Anti-Porn
      v13.x.x.x.exe; Alcohol 120 v1.9.x.exe; Adobe Photoshop CS4 crack by
      M0N5KI Hack Group.exe; Adobe Illustrator CS4 crack.exe; Adobe Acrobat
      Reader keygen.exe; Ad-aware 2010.exe; [patched, serial not needed]
      Absolute Video Converter 6.2-7.exe


 Backdoor É aberta a seguinte porta:

– javaupdate.ser**********.org numa porta TCP 443

 Roubos de informação Tenta roubar a seguinte informação:

– É iniciada uma rotina de logging depois de digitadar um dos seguintes textos:
   • cialis; pharma; casino; finance; mortgage; insurance; gambling;
      health; hotel; travel; antivirus; antivir; pocker; poker; video; baby;
      bany; porn; golf; diet; vocations; design; graphic; football; footbal;
      estate; job; baseball; shop; books; gifts; money; spyware; credit;
      loans; loan; dating; ebay; myspace; virus; film; ipod; verizon;
      amazon; iphone; software; movie; mobile; bank; music; cars;
      craigslist; game; sex; sport; medical; school; wallpaper; dvd;
      military; weather; twitter; fashion; spybot; trading; tramadol; yobt;
      flower; cigarettes; doctor; flights; airlines; comcast

 Informações diversas  Procura uma ligação de internet contactando o seguinte web site:
   • http://whatismyip.com/automation/n09230945.asp

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quarta-feira, 21 de julho de 2010
Descrição atualizada por Andrei Ivanes em quinta-feira, 29 de julho de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.