Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/VBKrypt.devc.1
Data em que surgiu:03/06/2011
Tipo:Trojan
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:Mdio
Nvel de risco:Mdio
Tamanho:49.152 Bytes
MD5 checksum:CF2445B2C06AF8757BB5C598F85BB22E
Verso VDF:7.11.08.254 - sexta-feira, 3 de junho de 2011
Verso IVDF:7.11.08.254 - sexta-feira, 3 de junho de 2011

 Vulgarmente Meio de transmisso:
   • E-mail
   • Ao visitar sites infectados


Alias:
   •  Symantec: W32.SillyIRC
   •  TrendMicro: WORM_NUSUMP.C
     Microsoft: Worm:Win32/Nusump


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Efeitos secundrios:
   • Possibilita acesso no autorizado ao computador
   • Desactiva aplicaes de segurana
   • Descarrega ficheiros
   • Altera o registo do Windows
   • Utiliza o seu prprio motor de E-mail
   • Informao de roubos
   • Aproveita-se de vulnerabilidades do software

 Ficheiros Autocopia-se para a seguinte localizao:
   • %TEMPDIR%\%uma srie de caracteres aleatrios%.exe



Apaga a cpia executada inicialmente.



criado o seguinte ficheiro:

%SYSDIR%\wbem\Logs\wbemprox.log Contm parmetros utilizados pelo malware.

 Registry (Registo do Windows) Um dos seguintes valores adicionado para executar o processo depois reinicializar:

  [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {254F4E25-A65F-2764-0003-070806050704}]
   • "StubPath"="%TEMPDIR%\%uma srie de caracteres aleatrios%.exe"

 Terminar o processo A seguinte lista de processos so terminados:
   • AvastSvc.exe
   • avgcsrvx.exe
   • avguard.exe
   • avgupd.exe
   • avp.exe
   • ccSvcHst.exe
   • ekrn.exe
   • mcupdate.exe
   • update.exe


 Backdoor Contacta o servidor:
Seguinte:
   • 200.58.119.**********:443

Como resultado pode enviar informao poderiam e dar capacidade de controlo remoto.

Envia informao sobre:
     Informao sobre o sistema operativo Windows


Capacidades de controlo remoto:
     Envia emails
     Termina processos
     Visita um Web site

 Introduo de cdigo viral noutros processos Introduz-se a si prprio como uma tarefa remota num processo.

    Nome do processo:
   • explorer.exe

   Se concluir com xito, o processo de malware termina enquanto a parte injetada permanece ativa.

 Informaes diversas Texto:
Alm disso contm os seguintes blocos de texto:
   • select * from moz_logins
   • \Mozilla\Firefox\

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Andrei Ilie em segunda-feira, 1 de agosto de 2011
Descrição atualizada por Andrei Ilie em quarta-feira, 3 de agosto de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.