Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Spy.110592.183
Data em que surgiu:01/07/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:110.592 Bytes
MD5 checksum:f5fbace6277850112bfe9f7c10e47676
Versão IVDF:7.10.08.241 - quinta-feira, 1 de julho de 2010

 Vulgarmente Meio de transmissão:
   • Recurso de execução automática


Alias:
   •  Bitdefender: Trojan.VB.Agent.GN
   •  Panda: W32/Autorun.KAE
   •  Eset: Win32/AutoRun.VB.RS


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Baixa as definições de segurança
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\csrss.exe
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-002C-0409-0000-0000000FF1CE}-C\Proof.en\MSWinUpdate.exe
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\smss.exe
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0115-0409-0000-0000000FF1CE}-c\temp\tag\HIVE%data actual%.exe
   • %unidade%\SpoolBin.exe



Apaga a cópia executada inicialmente.



Elimina o seguinte ficheiro:
   • %unidade%\Sm9ssE2039.dat



São criados os seguintes ficheiros:

– %HOME%\Start Menu\Programs\Startup\Windows update.lnk É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

– C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\Default\Misc\Utilities\Settings\%data actual%.ini
– %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Windows update.lnk É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%unidade%\ebd0d60b76dde7ef6728686c-6c4a2f-c7de.lnk É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%unidade%\Sm9ssE2039.dat



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0115-0409-0000-0000000FF1CE}-c\temp\tag\HIVE11161060454PM.exe


– Executa um dos seguintes ficheiros:
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\smss.exe


– Executa um dos seguintes ficheiros:
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\csrss.exe

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Subsystem Server 7.20"="C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\csrss.exe"
   • "Session Manager Subsystem Server 3.91"="C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\smss.exe"



O seguinte valor do registo é alterado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor recente:
   • "ShowSuperHidden"="00000000"

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em terça-feira, 16 de novembro de 2010
Descrição atualizada por Petre Galan em terça-feira, 16 de novembro de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.