Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Scar.cfmv
Data em que surgiu:30/05/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:575.488 Bytes
MD5 checksum:65feb504a274110a513dce6d1b6a640d
Versão IVDF:7.10.07.196 - domingo, 30 de maio de 2010

 Vulgarmente Meio de transmissão:
   • Recurso de execução automática


Alias:
   •  Bitdefender: Trojan.Generic.4010642
   •  Panda: Trj/Thed.V


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %unidade%\%ficheiro executado%
   • %ALLUSERSPROFILE%\Application Data\srtserv\%ficheiro executado%



São criados os seguintes ficheiros:

%unidade%\aUtoRuN.iNF É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

– %ALLUSERSPROFILE%\Application Data\srtserv\sdata.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Autorun.hdf

– %ALLUSERSPROFILE%\Application Data\srtserv\set.dat



Tenta efectuar o download de alguns ficheiros:

– A partir das seguintes localizações:
   • http://psynergi.dk/data/**********
   • http://kubusse.ru/data/**********
   • http://s-elisa.ru/data/**********
   • http://eda.ru/data/**********


– A partir das seguintes localizações:
   • http://vesterm.freehostia.com/**********
   • http://6cb498fe.freehostia.com/**********
   • http://c7e1c722.110mb.com/**********
   • http://ef1b7dc6.x10hosting.com/**********




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • "%ALLUSERSPROFILE%\Application Data\srtserv\%ficheiro executado%" -wait

 Registry (Registo do Windows) Os valores das seguintes chaves registo do windows são eliminados:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • srtserv

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • srtserv



É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\MSrtn]
   • "value1"="%ficheiro executado%"
   • "value2"=dword:0x000007d4

 Informações diversas    • http://vesterm.freehostia.com
   • http://psynergi.dk/data
   • http://kubusse.ru/data
   • http://s-elisa.ru/data
   • http://eda.ru/data
   • http://psynergi.dk/data
   • http://pushnik.freehostia.com


Mutex:
Cria os seguintes Mutexes:
   • YCS0mRtQ316
   • KAENA_HOOK

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 19 de novembro de 2010
Descrição atualizada por Petre Galan em sexta-feira, 19 de novembro de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.