Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/Drop.Agent.tzb
Data em que surgiu:29/12/2008
Tipo:Trojan
Subtipo:Dropper
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:De baixo a mdio
Nvel de risco:De baixo a mdio
Ficheiro esttico:Sim
Tamanho:112.640 Bytes
MD5 checksum:46d5d944e89a3584f20583b3f2de51cb
Verso VDF:7.01.01.40
Verso IVDF:7.01.01.43 - segunda-feira, 29 de dezembro de 2008

 Vulgarmente Meio de transmisso:
    Recurso de execuo automtica


Alias:
   •  Mcafee: W32/YahLover.worm.gen
   •  Sophos: W32/Autorun-BLY
   •  Bitdefender: Worm.Generic.52609
   •  Panda: W32/VenoMLucifer.A
   •  Eset: BAT/Autorun.B


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Bloqueia o acesso a determinados Web sites
   • Bloqueia o acesso a Web sites de segurana
   • Descarrega ficheiros maliciosos
   • Baixa as definies de segurana
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localizao:
   • %unidade%\SystemVolumeInformation\LucifeR.exe



Altera o contedo de um ficheiro.
%SYSDIR%\drivers\etc\hosts



So criados os seguintes ficheiros:

%unidade%\AutoruN.inf um ficheiro de texto no malicioso com o seguinte contedo:
   • %cdigo que executa malware%

%SYSDIR%\COM17949.DLL
%TEMPDIR%\bt38830.bat Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: BAT/Mevon.A




Tenta executar o seguinte ficheiro:

Executa um dos seguintes ficheiros:
   • cmd.exe /c %TEMPDIR%\bt38830.bat %ficheiro executado%


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t reg_dword /d "1" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d "1" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoFolderOptions /t reg_dword /d "1" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoFind /t reg_dword /d "1" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced" /v Hidden /t reg_dword /d "2" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d "0" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d "1" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoRecycleFiles /t reg_dword /d "1" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoPropertiesMyComputer /t reg_dword /d "1" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v DisallowRun /t reg_dword /d "1" /f


Executa um dos seguintes ficheiros:
   • taskkill /f /im Ad-Watch.EXE


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d "0" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Policies\Microsoft\windows NT\SystemRestore" /v DisableConfig /t reg_dword /d "1" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Policies\Microsoft\windows NT\SystemRestore" /v DisableSR /t reg_dword /d "1" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 1 /t reg_sz /d "notepad.exe" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 2 /t reg_sz /d "HijackThis.exe" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 3 /t reg_sz /d "wordpad.exe" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 4 /t reg_sz /d "rstrui.exe" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 5 /t reg_sz /d "taskmgr.exe" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 5 /t reg_sz /d "msconfig.exe" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 6 /t reg_sz /d "regedit.exe" /f


Executa um dos seguintes ficheiros:
   • attrib +s +h "%HOME%\Application Data\Micro$oft\desktop.log"


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 7 /t reg_sz /d "HiJackThis_v2.exe" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 10 /t reg_sz /d "cmd.exe" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 11 /t reg_sz /d "ibprocman.exe" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 12 /t reg_sz /d "explorer.exe" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 13 /t reg_sz /d "integrator.exe.exe" /f


Executa um dos seguintes ficheiros:
   • find /i "metroflog" "%SYSDIR%\drivers\etc\hosts"


Executa um dos seguintes ficheiros:
   • reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t reg_sz /d "www.google.com.mx" /f


Executa um dos seguintes ficheiros:
   • reg add "HKCU\VenoM.LucifeR.17949179491794917949\suriV" /v "Tu has sido derrotado de nuevo por VenoM" /d "Burn in Hell" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\GPEDIT.MSC" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\attrib.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Executa um dos seguintes ficheiros:
   • attrib -s -h -r -a %ficheiro executado%


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\cmd.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\command.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\del.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\Dxdiag.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\notepad.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\reg.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\regedit.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\taskkill.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\tskill.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\HELPCTR.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\Software\Microsoft\windows\CurrentVersion\Run" /v CTFMON.EXE /t reg_sz /d "%WINDIR%\svchost.exe" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\MSCONFIG.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\VenoM.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\wordpad.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\666.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Executa um dos seguintes ficheiros:
   • attrib +h +s C:\WINDOWS


Executa um dos seguintes ficheiros:
   • attrib +s +h "%SYSDIR%"


Executa um dos seguintes ficheiros:
   • attrib +s +h "%WINDIR%\notepad.exe"


Executa um dos seguintes ficheiros:
   • attrib +s +h "%SYSDIR%\notepad.exe"


Executa um dos seguintes ficheiros:
   • attrib +s +h +r +a %unidade%\AutoruN.inf


Executa um dos seguintes ficheiros:
   • attrib +s +h "%unidade%\SystemVolumeInformation\*.exe"


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows NT\CurrentVersion\winlogon" /v Shell /t reg_sz /d "Explorer.exe %lixeira%\NTDETECT.EXE" /f


Executa um dos seguintes ficheiros:
   • attrib +s +h "%unidade%\SystemVolumeInformation"


Executa um dos seguintes ficheiros:
   • attrib -h -s -r -a %ficheiro executado%


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t reg_dword /d "1" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d "1" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoFolderOptions /t reg_dword /d "1" /f


Executa um dos seguintes ficheiros:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoFind /t reg_dword /d "1" /f

 Registry (Registo do Windows) So adicionadas as seguintes chaves ao registo:

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\666.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   MSCONFIG.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer]
   • "DisallowRun"=dword:0x00000001
   • "NoFind"=dword:0x00000001
   • "NoFolderOptions"=dword:0x00000001
   • "NoPropertiesMyComputer"=dword:0x00000001
   • "NoRecycleFiles"=dword:0x00000001

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   HELPCTR.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Policies\Microsoft\windows NT\SystemRestore]
   • "DisableConfig"=dword:0x00000001
   • "DisableSR"=dword:0x00000001

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   VenoM.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   GPEDIT.MSC]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   Dxdiag.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKCU\VenoM.LucifeR.17949179491794917949\suriV]
   • "Tu has sido derrotado de nuevo por VenoM"="Burn in Hell"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   tskill.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   taskkill.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   regedit.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   attrib.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer]
   • "NoFind"=dword:0x00000001
   • "NoFolderOptions"=dword:0x00000001

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\reg.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   command.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\
   DisallowRun]
   • "1"="notepad.exe"
   • "10"="cmd.exe"
   • "11"="ibprocman.exe"
   • "12"="explorer.exe"
   • "13"="integrator.exe.exe"
   • "2"="HijackThis.exe"
   • "3"="wordpad.exe"
   • "4"="rstrui.exe"
   • "5"="msconfig.exe"
   • "6"="regedit.exe"
   • "7"="HiJackThis_v2.exe"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   notepad.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\cmd.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\del.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\Software\Microsoft\windows\CurrentVersion\Run]
   • "CTFMON.EXE"="%WINDIR%\svchost.exe"



Altera as seguintes chaves de registo do Windows:

[HKLM\SOFTWARE\Classes\VBSFile\Shell\Open\Command]
   Valor recente:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\inifile\shell\open\command]
   Valor recente:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   wordpad.exe]
   Valor recente:
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Classes\MSCFile\Shell\Open\Command]
   Valor recente:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\JSFile\Shell\Open\Command]
   Valor recente:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\piffile\shell\open\command]
   Valor recente:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\VBEFile\Shell\Open\Command]
   Valor recente:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\inffile\shell\open\command]
   Valor recente:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
   Valor recente:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced]
   Valor recente:
   • "Hidden"=dword:0x00000002
   • "HideFileExt"=dword:0x00000001
   • "ShowSuperHidden"=dword:0x00000000

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valor recente:
   • "CheckedValue"=dword:0x00000000

[HKLM\SOFTWARE\Microsoft\windows NT\CurrentVersion\winlogon]
   Valor recente:
   • "Shell"="Explorer.exe %lixeira%\NTDETECT.EXE"

[HKLM\SOFTWARE\Classes\batfile\shell\open\command]
   Valor recente:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKCU\Software\Microsoft\Internet Explorer\Main]
   Valor recente:
   • "Start Page"="www.google.com.mx"

[HKLM\SOFTWARE\Classes\cmdfile\shell\open\command]
   Valor recente:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\regfile\shell\open\command]
   Valor recente:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\txtfile\shell\open\command]
   Valor recente:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alteraes:

Neste caso no haver alteraes.

O acesso aos seguintes domnios bloqueado:
   • 127.0.0.1 www.metroflog.com
   • 127.0.0.1 www.hotmail.com
   • 127.0.0.1 www.google.com


 Terminar o processo O seguinte processo terminado:
   • Ad-Watch.EXE


 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 25 de fevereiro de 2011
Descrição atualizada por Petre Galan em sexta-feira, 25 de fevereiro de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.