Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/Spy.110592.183
Data em que surgiu:01/07/2010
Tipo:Trojan
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:De baixo a mdio
Nvel de risco:De baixo a mdio
Ficheiro esttico:Sim
Tamanho:110.592 Bytes
MD5 checksum:f5fbace6277850112bfe9f7c10e47676
Verso IVDF:7.10.08.241 - quinta-feira, 1 de julho de 2010

 Vulgarmente Meio de transmisso:
    Recurso de execuo automtica


Alias:
   •  Bitdefender: Trojan.VB.Agent.GN
   •  Panda: W32/Autorun.KAE
   •  Eset: Win32/AutoRun.VB.RS


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Baixa as definies de segurana
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizaes
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\csrss.exe
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-002C-0409-0000-0000000FF1CE}-C\Proof.en\MSWinUpdate.exe
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\smss.exe
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0115-0409-0000-0000000FF1CE}-c\temp\tag\HIVE%data actual%.exe
   • %unidade%\SpoolBin.exe



Apaga a cpia executada inicialmente.



Elimina o seguinte ficheiro:
   • %unidade%\Sm9ssE2039.dat



So criados os seguintes ficheiros:

%HOME%\Start Menu\Programs\Startup\Windows update.lnk um ficheiro de texto no malicioso com o seguinte contedo:
   • %cdigo que executa malware%

%unidade%\autorun.inf um ficheiro de texto no malicioso com o seguinte contedo:
   • %cdigo que executa malware%

C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\Default\Misc\Utilities\Settings\%data actual%.ini
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\Windows update.lnk um ficheiro de texto no malicioso com o seguinte contedo:
   • %cdigo que executa malware%

%unidade%\ebd0d60b76dde7ef6728686c-6c4a2f-c7de.lnk um ficheiro de texto no malicioso com o seguinte contedo:
   • %cdigo que executa malware%

%unidade%\Sm9ssE2039.dat



Tenta executar o seguinte ficheiro:

Executa um dos seguintes ficheiros:
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0115-0409-0000-0000000FF1CE}-c\temp\tag\HIVE11161060454PM.exe


Executa um dos seguintes ficheiros:
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\smss.exe


Executa um dos seguintes ficheiros:
   • C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\csrss.exe

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Subsystem Server 7.20"="C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\csrss.exe"
   • "Session Manager Subsystem Server 3.91"="C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\smss.exe"



O seguinte valor do registo alterado:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor recente:
   • "ShowSuperHidden"="00000000"

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em terça-feira, 16 de novembro de 2010
Descrição atualizada por Petre Galan em terça-feira, 16 de novembro de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.