Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Drop.Small.gic
Data em que surgiu:29/09/2010
Tipo:Trojan
Subtipo:Dropper
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:177.664 Bytes
MD5 checksum:a8aa2d8016e798f5cdb6d45aaf338b38
Versão VDF:7.10.05.110
Versão IVDF:7.10.12.62 - quarta-feira, 29 de setembro de 2010

 Vulgarmente Alias:
   •  Mcafee: Artemis!A8AA2D8016E7
   •  Kaspersky: Trojan-Dropper.Win32.Small.gic
   •  Bitdefender: Worm.Generic.276456
   •  Panda: W32/Lineage.LNT
   •  GData: Worm.Generic.276456


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %TEMPDIR%\apiqq.exe



Apaga a cópia executada inicialmente.



Elimina os seguintes ficheiros:
   • %TEMPDIR%\am.exe
   • %TEMPDIR%\am1.rar



São criados os seguintes ficheiros:

%TEMPDIR%\apiqq0.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Agent.bq.137

%SYSDIR%\arking0.dll
%SYSDIR%\arking.exe



Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://www.baiduww9.com/1mg/**********
Encontra-se no disco rígido: %TEMPDIR%\am.exe

– A partir da seguinte localização:
   • http://www.baiduww9.com/1mg/**********
Encontra-se no disco rígido: %TEMPDIR%\am1.rar



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE


– Executa um dos seguintes ficheiros:
   • %TEMPDIR%\am.exe

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "King_ar"="%SYSDIR%\arking.exe"
   • "api32"="%TEMPDIR%\apiqq.exe"



É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
   • "urlinfo"="dsdvwq.z"

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %TEMPDIR%\apiqq0.dll

    Nome do processo:
   • explorer.exe



– Introduz-se a si próprio como uma tarefa remota num processo.

    Nome do processo:
   • iexplore.exe



–  Introduz o seguinte ficheiro num processo: %SYSDIR%\arking0.dll

    Nome do processo:
   • explorer.exe


 Informações diversas Recursos de acesso à Internet:
   • http://www.163lou.com/1mg/**********

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em terça-feira, 12 de abril de 2011
Descrição atualizada por Petre Galan em terça-feira, 12 de abril de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.