VírusWORM/Esfury.A.91
Data em que surgiu:29/06/2010
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:40.960 Bytes
MD5 checksum:805cad883ad580cd2bcc5347b2ef431a
Versão VDF:7.10.03.196
Versão IVDF:7.10.08.214 - terça-feira, 29 de junho de 2010

 Vulgarmente Meios de transmissão:
   • Recurso de execução automática
   • Unidade de rede


Alias:
   •  Kaspersky: Trojan.Win32.VB.agxe
   •  TrendMicro: WORM_VBNA.AC
   •  Sophos: Mal/SillyFDC-F
   •  Microsoft: Worm:Win32/Esfury.A
   •  Panda: W32/Esfury.A
   •  VirusBuster: Trojan.VB.JSZE
   •  Eset: Win32/AutoRun.VB.QQ
   •  Sunbelt: Worm.Win32.Esfury
   •  AhnLab: Win32/Esfury.worm.40960
   •  DrWeb: Win32.HLLW.Autoruner.25669
   •  Fortinet: W32/VB.AGXE!tr
   •  Ikarus: Trojan.Win32.VB
   •  Norman: W32/Silly.BX


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efeitos secundários:
   • Baixa as definições de segurança
   • Descarrega um ficheiro
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %HOME%\%username%1\winlogon.exe
   • %unidade%\drivesguideinfo\svchost.exe



É criado o seguinte ficheiro:

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

– %HOME%\%username%1\VERSION.TXT É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • 195




Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://0-0-1-0-0-1-0-0-1-1-1-1-0-1-0-**********
Encontra-se no disco rígido: %HOME%\%username%1\WLO.EXE Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.

– A partir da seguinte localização:
   • http://0-0-1-0-0-0-1-0-1-0-0-1-0-0-**********
Encontra-se no disco rígido: %HOME%\%username%1\winhelp32.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: WORM/VBNA.B.370

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\%username%1\winlogon.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\%username%1\winlogon.exe"

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.

Descrição enviada por Alexandru Dinu em quinta-feira, 12 de agosto de 2010
Descrição atualizada por Alexandru Dinu em quinta-feira, 12 de agosto de 2010

Voltar . . . .