Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Agent.77824
Data em que surgiu:31/10/2006
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:77.824 Bytes
MD5 checksum:3e6dc704fc07eecd9628c1bb3969ac56
Versão VDF:6.36.00.198
Versão IVDF:6.36.00.217 - terça-feira, 31 de outubro de 2006

 Vulgarmente Meio de transmissão:
   • Recurso de execução automática


Alias:
   •  Kaspersky: Trojan.Win32.VBKrypt.cwnm
   •  Bitdefender: Trojan.Generic.6201582
   •  GData: Trojan.Generic.6201582
   •  DrWeb: Trojan.Siggen2.29349


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Possibilita acesso não autorizado ao computador
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %unidade%\microsoft.exe
   • %HOME%\Application Data\scheb.exe



Altera o conteúdo de um ficheiro.
%SYSDIR%\drivers\etc\hosts



Elimina o seguinte ficheiro:
   • %TEMPDIR%\fla7DXG8N.tmp



São criados os seguintes ficheiros:

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%TEMPDIR%\fla7DXG8N.tmp



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %HOME%\Application Data\scheb.exe

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Update System"="%HOME%\Application Data\scheb.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Update System"="%HOME%\Application Data\scheb.exe"



Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "Windows Update System"="%HOME%\Application Data\scheb.exe"

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: minerva.cdm**********.org
Porta: 6667
Canal #spam#
Nickname: NEW[XX][XP]%número%

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso valores existentes serão alterados.

– O acesso aos seguintes domínios é bloqueado:
   • 127.0.0.1 www.virustotal.com
   • 127.0.0.1 www.pandasoftware.com
   • 127.0.0.1 www.norton.com
   • 127.0.0.1 www.nod32.com
   • 127.0.0.1 www.microsoft.com
   • 127.0.0.1 www.macafee.com
   • 127.0.0.1 www.kaspersky-labs.com
   • 127.0.0.1 www.hotmail.com
   • 127.0.0.1 www.download.mcafee.com
   • 127.0.0.1 pandasoftware.com
   • 127.0.0.1 norton.com
   • 127.0.0.1 nod32.com
   • 127.0.0.1 microsoft.com
   • 127.0.0.1 macafee.com
   • 127.0.0.1 bitdefender.com
   • 127.0.0.1 www.virusscan.jotti.org
   • 127.0.0.1 www.viruslist.com
   • 127.0.0.1 www.virscan.org
   • 127.0.0.1 www.trendmicro.com
   • 127.0.0.1 www.symantec.com
   • 127.0.0.1 www.sophos.com
   • 127.0.0.1 www.networkassociates.com
   • 127.0.0.1 www.nai.com
   • 127.0.0.1 www.my-etrust.com
   • 127.0.0.1 www.mcafee.com
   • 127.0.0.1 www.kaspersky.com
   • 127.0.0.1 www.grisoft.com
   • 127.0.0.1 www.f-secure.com
   • 127.0.0.1 www.ca.com
   • 127.0.0.1 www.avp.com
   • 127.0.0.1 virustotal.com
   • 127.0.0.1 virusscan.jotti.org
   • 127.0.0.1 viruslist.com
   • 127.0.0.1 virscan.org
   • 127.0.0.1 us.mcafee.com
   • 127.0.0.1 updates.symantec.com
   • 127.0.0.1 update.symantec.com
   • 127.0.0.1 trendmicro.com
   • 127.0.0.1 threatexpert.com
   • 127.0.0.1 symantec.com
   • 127.0.0.1 sophos.com
   • 127.0.0.1 securityresponse.symantec.com
   • 127.0.0.1 secure.nai.com
   • 127.0.0.1 scanner.novirusthanks.org
   • 127.0.0.1 rads.mcafee.com
   • 127.0.0.1 networkassociates.com
   • 127.0.0.1 nai.com
   • 127.0.0.1 my-etrust.com
   • 127.0.0.1 mcafee.com
   • 127.0.0.1 mast.mcafee.com
   • 127.0.0.1 liveupdate.symantecliveupdate.com
   • 127.0.0.1 liveupdate.symantec.com
   • 127.0.0.1 kaspersky.com
   • 127.0.0.1 kaspersky-labs.com
   • 127.0.0.1 f-secure.com
   • 127.0.0.1 download.mcafee.com
   • 127.0.0.1 dispatch.mcafee.com
   • 127.0.0.1 customer.symantec.com
   • 127.0.0.1 ca.com
   • 127.0.0.1 avp.com


 Informações diversas Mutex:
Cria o seguinte Mutex:
   • TTKRJPJD6S8GJHGT68DDJSOMSDL

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em segunda-feira, 18 de julho de 2011
Descrição atualizada por Petre Galan em segunda-feira, 18 de julho de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.