Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Agent.aeim
Data em que surgiu:04/01/2011
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:49.242 Bytes
MD5 checksum:385323ccdc790b3302b32120ef1dbe9a
Versão VDF:7.10.07.145
Versão IVDF:7.11.01.20 - terça-feira, 4 de janeiro de 2011

 Vulgarmente Meio de transmissão:
   • Recurso de execução automática


Alias:
   •  Mcafee: W32/DKR.worm
   •  Kaspersky: Trojan.Win32.Agent.aeim
   •  Sophos: W32/LCJump-A
   •  Bitdefender: Trojan.Agent.AIQ
   •  Panda: W32/Autorun.APB
   •  GData: Trojan.Agent.AIQ


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\SVCHOST.EXE
   • %unidade%\RavMon.exe



São criados os seguintes ficheiros:

%unidade%\AutoRun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%WINDIR%\SVCHOST.INI
%WINDIR%\MDM.EXE Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Agent.abt




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %WINDIR%\SVCHOST.EXE


– Executa um dos seguintes ficheiros:
   • %WINDIR%\MDM.EXE

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SVCHOST"="%WINDIR%\MDM.EXE"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   • CheckedValue



O seguinte valor do registo é alterado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor recente:
   • "Hidden"=dword:0x00000002

 Backdoor Contacta o servidor:
Seguinte:
   • http://cha**********.cn/task.asp?mac=%caracteres%


 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quarta-feira, 6 de abril de 2011
Descrição atualizada por Petre Galan em quarta-feira, 6 de abril de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.