Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Agent.454656.2
Data em que surgiu:19/10/2010
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:454.656 Bytes
MD5 checksum:876eda673046154a667a11295932040b
Versão VDF:7.10.05.217
Versão IVDF:7.10.12.252 - terça-feira, 19 de outubro de 2010

 Vulgarmente Meio de transmissão:
   • Recurso de execução automática


Alias:
   •  Sophos: W32/Agent-PAV
   •  Bitdefender: Worm.Generic.273622
   •  Panda: W32/Autorun.JVV
   •  Eset: MSIL/Autorun.Agent.Q


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %unidade%\windows\system32\ultrafx.exe
   • %unidade%\windows\system32\suchost.exe
   • %unidade%\ultrafx.exe



É criado o seguinte ficheiro:

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %SYSDIR%\suchost.exe


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\ultrafx.exe

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Sound driver"="%SYSDIR%\suchost.exe"
   • "Video Card"="%SYSDIR%\ultrafx.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Sound driver"="%SYSDIR%\suchost.exe"
   • "Video Card"="%SYSDIR%\ultrafx.exe"



É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\Microsoft\Windows]
   • "mID"="442ddbd9-1984-4a81-9091-2dde5a9f650f"
   • "vs"="15"



Altera as seguintes chaves de registo do Windows:

– [HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server]
   Valor recente:
   • "fDenyTSConnections"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valor recente:
   • "limitblankpassworduse"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Control\Windows]
   Valor recente:
   • "ErrorMode"=dword:0x00000002

 Backdoor Contacta o servidor:
Seguinte:
   • smtp.gmail.com:587 (TCP)


 Informações diversas Recursos de acesso à Internet:
   • http://lookingforfun.blo**********.org/

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quinta-feira, 24 de fevereiro de 2011
Descrição atualizada por Petre Galan em quinta-feira, 24 de fevereiro de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.