Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/Drop.VB.BAK
Data em que surgiu:11/10/2010
Tipo:Trojan
Subtipo:Dropper
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:Mdio
Nvel de risco:De baixo a mdio
Ficheiro esttico:Sim
Tamanho:86.016 Bytes
MD5 checksum:6f638a6d41d60c969946e75b7c020018
Verso VDF:7.10.05.170
Verso IVDF:7.10.12.171 - segunda-feira, 11 de outubro de 2010

 Vulgarmente Meios de transmisso:
    Recurso de execuo automtica
   • E-mail
    Messenger


Alias:
   •  Mcafee: W32/Autorun.worm.aaj
   •  Kaspersky: Trojan.Win32.VBKrypt.kdk
   •  Bitdefender: Trojan.Dropper.VB.BAK
     GData: Trojan.Dropper.VB.BAK


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizaes
   • %TEMPDIR%\1UlaiYla.exe
   • %unidade%\1UlaiYla.exe



Apaga a cpia executada inicialmente.



criado o seguinte ficheiro:

%unidade%\Autorun.inf um ficheiro de texto no malicioso com o seguinte contedo:
   • %cdigo que executa malware%

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows"="%TEMPDIR%\1UlaiYla.exe"



adicionada a seguinte chave de registo:

[HKLM\Software\Microsoft\Active Setup\Installed Components\
   {36A5A0DB-297E-FDE2-0501-060104070800}]
   • "StubPath"="%TEMPDIR%\1UlaiYla.exe"

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


De:
O endereo do remetente falsificado.


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.


Corpo:
– Contm cdigo HTML.

O ficheiro de atalho uma cpia do malware.

 Messenger Propaga-se atravs do Messenger. Tem as seguintes caractersticas:

 Windows Messenger

O URL aponta para uma cpia do malware descrito. Se o utilizador descarregar e executar este ficheiro ter incio o processo de infeco do seu computador.

 Backdoor Contacta o servidor:
Seguintes:
   • http://updates-call.com/**********?id=%caracteres%&co=%caracteres%&us=%caracteres%&os=%caracteres%&vr=%caracteres%&av&dt
   • http://124.217.253.18/**********?id=%caracteres%&co=%caracteres%&us=%caracteres%&os=%caracteres%&vr=%caracteres%&av&dt



Envia informao sobre:
    • Nome do computador
     Tempo de vida do malware
     Nome de utilizador
     Informao sobre o sistema operativo Windows

 Introduo de cdigo viral noutros processos Introduz-se a si prprio como uma tarefa remota num processo.

    Nome do processo:
   • explorer.exe


 Informaes diversas Mutex:
Cria o seguinte Mutex:
   • X00X

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 18 de março de 2011
Descrição atualizada por Petre Galan em sexta-feira, 18 de março de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.