Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Dorkbot.A.19
Data em que surgiu:07/04/2011
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:De baixo a mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:133.632 Bytes
MD5 checksum:5449470964e56a1fe71140ecd2d4b8c5
Verso VDF:7.11.05.216 - quinta-feira, 7 de abril de 2011
Verso IVDF:7.11.05.216 - quinta-feira, 7 de abril de 2011

 Vulgarmente Meio de transmisso:
    Recurso de execuo automtica


Alias:
   •  Kaspersky: Trojan.Win32.Scar.dvcu
   •  F-Secure: Trojan.Win32.Scar.dvcu
   •  Bitdefender: Trojan.Scar.M
     GData: Trojan.Scar.M
     DrWeb: Trojan.Inject.30797


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Possibilita acesso no autorizado ao computador
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Informao de roubos

 Ficheiros Autocopia-se para as seguintes localizaes
   • %HOME%\Application Data\%caracteres%.exe
   • %unidade%\RECYCLER\%caracteres%.exe



Apaga a cpia executada inicialmente.



criado o seguinte ficheiro:

%unidade%\autorun.inf um ficheiro de texto no malicioso com o seguinte contedo:
   • %cdigo que executa malware%




Tenta executar o seguinte ficheiro:

Executa um dos seguintes ficheiros:
   • %HOME%\Application Data\%caracteres%.exe

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%caracteres%"="%HOME%\Application Data\%caracteres%.exe"

 IRC Para enviar informaes do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: haso.duk**********.com
Porta: 8888
Nickname: n{US|XPa}%uma srie de caracteres aleatrios%

 Roubos de informao Tenta roubar a seguinte informao:
 Palavras-chave digitadas em 'campos de entrada de palavras-chave'

iniciada uma rotina de logging depois de visitar um dos seguintes Web sites, que contenha um dos seguintes textos no URL:
   • *officebanking.cl/*login.asp*
   • *.alertpay.*/*login.aspx
   • *.moneybookers.*/*login.pl
   • *runescape*/*weblogin*
   • *steampowered*/login*
   • *facebook.*/login.php*
   • *login.yahoo.*/*login*
   • *login.live.*/*post.srf*
   • *gmx.*/*FormLogin*
   • *fastmail.*/mail/*
   • *bigstring.*/*index.php*
   • *aol.*/*login.psp*
   • *google.*/*ServiceLoginAuth*
   • *paypal.*/webscr?cmd=_login-submit*

 Introduo de cdigo viral noutros processos Introduz-se a si prprio como uma tarefa remota num processo.

injetado em todos os processos.


 Informaes diversas Recursos de acesso Internet:
   • http://api.wip**********.com


Mutex:
Cria os seguintes Mutexes:
   • OgarD-Mutex
   • aciCty21CAjoSS8o

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em quinta-feira, 2 de junho de 2011
Descrição atualizada por Petre Galan em quinta-feira, 2 de junho de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.