Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/PSW.Magania.I
Data em que surgiu:19/10/2010
Tipo:Trojan
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:De baixo a mdio
Nvel de risco:De baixo a mdio
Ficheiro esttico:Sim
Tamanho:162.816 Bytes
MD5 checksum:ebefbaca078971eb9e0912675d7a3299
Verso VDF:7.10.05.217
Verso IVDF:7.10.12.252 - terça-feira, 19 de outubro de 2010

 Vulgarmente Meio de transmisso:
    Recurso de execuo automtica


Alias:
   •  Symantec: W32.Gammima.AG
   •  Kaspersky: Trojan-GameThief.Win32.Magania.dxws
   •  TrendMicro: TROJ_GAMETHI.GQE
     Avast: Win32:OnLineGames-FVA
     Microsoft: Worm:Win32/Taterf.B


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Efeitos secundrios:
   • Descarrega ficheiros
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizaes
   • %TEMPDIR%\apiqq.exe
   • %unidade%\o1o.exe



Apaga a cpia executada inicialmente.



criado o seguinte ficheiro:

%unidade%\autorun.inf um ficheiro de texto no malicioso com o seguinte contedo:
   • %cdigo que executa malware%




Tenta efectuar o download de alguns ficheiros:

A partir das seguintes localizaes:
   • http://www.baiduyte.com/1mg/**********
   •
Encontra-se no disco rgido: %TEMPDIR%\apiqq0.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware.

A partir da seguinte localizao:
   • http://www.baiduyte.com/1mg/**********
Encontra-se no disco rgido: %SYSDIR%\arking.exe Outras investigaes apontam para que este ficheiro, tambm, seja malware.

A partir da seguinte localizao:
   • http://www.baiduyte.com/1mg/**********
Encontra-se no disco rgido: %SYSDIR%\arking0.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware.

 Registry (Registo do Windows) Para cada chave de registo adicionado um dos seguintes valores para executar os processos depois reinicializar:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "api32"="%TEMPDIR%\apiqq.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "King_ar"="%SYSDIR%\arking.exe"



Altera as seguintes chaves de registo do Windows:

Desactiva o Regedit e o Gestor de Tarefas:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor recente:
   • "Hidden"=dword:00000002

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor recente:
   • "ShowSuperHidden"=dword:00000000

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com o seguinte empacotador de runtime:
   • ASPack

Descrição enviada por Andrei Ilie em sexta-feira, 22 de abril de 2011
Descrição atualizada por Andrei Ilie em terça-feira, 24 de maio de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.