Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWORM/Autorun.VW.117
Data em que surgiu:20/07/2011
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:De baixo a mdio
Nvel de risco:Mdio
Tamanho:26.624 Bytes
MD5 checksum:71A2BABAFD1C7D120EC784FDCE4E2DB0
Verso VDF:7.11.12.21 - quarta-feira, 20 de julho de 2011
Verso IVDF:7.11.12.21 - quarta-feira, 20 de julho de 2011

 Vulgarmente Meio de transmisso:
    Recurso de execuo automtica


Alias:
   •  Kaspersky: Trojan.Win32.Scar.dkpb
   •  TrendMicro: WORM_AUTORUN.DL
   •  Sophos: W32/Autorun-BRR
     Microsoft: Worm:Win32/Autorun.VW


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Efeitos secundrios:
   • Possibilita acesso no autorizado ao computador
   • Descarrega ficheiros
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizaes
   • %SYSDIR%\phqghu.exe
   • %unidade%/usbrun.exe



criado o seguinte ficheiro:

%unidade%/autorun.inf um ficheiro de texto no malicioso com o seguinte contedo:
   • %cdigo que executa malware%

 Registry (Registo do Windows) Para cada chave de registo adicionado um dos seguintes valores para executar os processos depois reinicializar:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "phqghu.exe"="%SYSDIR%\phqghu.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "phqghu.exe"="%SYSDIR%\phqghu.exe"
   •

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "phqghu.exe"="%SYSDIR%\phqghu.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "phqghu.exe"="%SYSDIR%\phqghu.exe"

 Backdoor Contacta o servidor:
Seguintes:
   • roguenet.**********:3545
   • xeyaskaz.**********:3545

Tambm, repete a ligao periodicamente.

Capacidades de controlo remoto:
     Download de ficheiros
     Ataque de Negao de Servios (ataque DoS)
     Visita um Web site

 Introduo de cdigo viral noutros processos Introduz-se a si prprio como uma tarefa remota num processo.

    Nome do processo:
   • explorer.exe


 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Andrei Ilie em segunda-feira, 1 de agosto de 2011
Descrição atualizada por Andrei Ilie em terça-feira, 2 de agosto de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.