VírusTR/Swisyn.aegr.1
Data em que surgiu:06/07/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:Baixo
Ficheiro estático:Sim
Tamanho:262.158 Bytes
MD5 checksum:28de640f45d5127fa5395c8f612066a2
Versão IVDF:7.10.09.13 - terça-feira, 6 de julho de 2010

 Vulgarmente Meio de transmissão:
   • Recurso de execução automática


Alias:
   •  Sophos: Mal/AutoRun-N
   •  Bitdefender: Trojan.Agent.VB.BMA
   •  Panda: W32/Silly.BX


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %HOME%\Application Data\lsass.exe
   • %unidade%\lsass.exe



Apaga a cópia executada inicialmente.

%unidade%\Autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • netsh firewall add allowedprogram program = %HOME%\Application Data\lsass.exename = Nero mode = ENABLE

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe %HOME%\Application Data\lsass.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "MSWUpdate"="%HOME%\Application Data\lsass.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "MSWUpdate"="%HOME%\Application Data\lsass.exe"

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quarta-feira, 25 de agosto de 2010
Descrição atualizada por Petre Galan em quarta-feira, 25 de agosto de 2010

Voltar . . . .