Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Brontok.AH
Data em que surgiu:08/02/2007
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:335.872 Bytes
MD5 checksum:e5289f7c1ab17cfe7244eac16d7209ab
Versão IVDF:6.37.01.60 - quinta-feira, 8 de fevereiro de 2007

 Vulgarmente Alias:
   •  Mcafee: W32/Rontokbro.gen
   •  Sophos: W32/Brontok-B
   •  Bitdefender: Trojan.VB.AutoRun.T
   •  Panda: W32/Brontok.JK.worm
   •  Eset: Win32/Brontok.BW


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %SYSDIR%\2D Animation.scr
   • %HOME%\Templates\A.yaresoJ.com
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\winlogon.exe
   • %WINDIR%\INF\esoJray.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Start Menu\Programs\Startup\index.pif
   • %HOME%\Local Settings\Application Data\inetinfo.exe



Altera o conteúdo de um ficheiro.
– C:\autoexec.bat



É criado o seguinte ficheiro:

– %HOME%\Local Settings\Application Data\Update.3.Jose.ray.bin



Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://www.geocities.com/jowobot123/**********




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • explorer.exe


– Executa um dos seguintes ficheiros:
   • "%HOME%\Local Settings\Application Data\smss.exe"


– Executa um dos seguintes ficheiros:
   • "%HOME%\Local Settings\Application Data\winlogon.exe"


– Executa um dos seguintes ficheiros:
   • at /delete /y


– Executa um dos seguintes ficheiros:
   • at 17:08 /every:M,T,W,Th,F,S,Su "%HOME%\Templates\A.yaresoJ.com"


– Executa um dos seguintes ficheiros:
   • "%HOME%\Local Settings\Application Data\services.exe"


– Executa um dos seguintes ficheiros:
   • "%HOME%\Local Settings\Application Data\lsass.exe"


– Executa um dos seguintes ficheiros:
   • "%HOME%\Local Settings\Application Data\inetinfo.exe"

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:



São adicionadas as seguintes chaves ao registo:

– [HKCU\software\microsoft\windows\currentversion\Policies\System]
   • "DisableCMD"=dword:0x00000000
   • "DisableRegistryTools"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoFolderOptions"=dword:0x00000001



Altera as seguintes chaves de registo do Windows:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Valor recente:
   • "Locked"=dword:0x00000001

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar\Explorer]
   Valor recente:
   • "ITBarLayout"=hex:b'\x11\x00\x00\x00L\x00\x00\x00\x00\x00\x00\x004\x00\x00\x00\x1b\x00\x00\x00N\x00\x00\x00\x01\x00\x00\x00\x07\x00\x00\xa0\x0f\x00\x00\x05\x00\x00\x00b\x05\x00\x00&\x00\x00\x00\x02\x00\x00\x00!\x07\x00\x00\xa0\x0f\x00\x00\x04\x00\x00\x00!\x01\x00\x00\xa0\x0f\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
   Valor recente:
   • "{01E04581-4EEE-11D0-BFE9-00AA005B4383}"=hex:b'\x81E\xe0\x01\xeeN\xd0\x11\xbf\xe9\x00\xaa\x00[C\x83\x10\x00\x00\x00\x00\x00\x00\x00\x01\xe02\xf4\x01\x00\x00\x00'

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Visual Basic.

Descrição enviada por Petre Galan em sexta-feira, 23 de julho de 2010
Descrição atualizada por Petre Galan em sexta-feira, 23 de julho de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.