Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/VBKrypt.devc.1
Data em que surgiu:03/06/2011
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Tamanho:49.152 Bytes
MD5 checksum:CF2445B2C06AF8757BB5C598F85BB22E
Versão VDF:7.11.08.254 - sexta-feira, 3 de junho de 2011
Versão IVDF:7.11.08.254 - sexta-feira, 3 de junho de 2011

 Vulgarmente Meio de transmissão:
   • E-mail
   • Ao visitar sites infectados


Alias:
   •  Symantec: W32.SillyIRC
   •  TrendMicro: WORM_NUSUMP.C
   •  Microsoft: Worm:Win32/Nusump


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efeitos secundários:
   • Possibilita acesso não autorizado ao computador
   • Desactiva aplicações de segurança
   • Descarrega ficheiros
   • Altera o registo do Windows
   • Utiliza o seu próprio motor de E-mail
   • Informação de roubos
   • Aproveita-se de vulnerabilidades do software

 Ficheiros Autocopia-se para a seguinte localização:
   • %TEMPDIR%\%uma série de caracteres aleatórios%.exe



Apaga a cópia executada inicialmente.



É criado o seguinte ficheiro:

%SYSDIR%\wbem\Logs\wbemprox.log Contém parâmetros utilizados pelo malware.

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {254F4E25-A65F-2764-0003-070806050704}]
   • "StubPath"="%TEMPDIR%\%uma série de caracteres aleatórios%.exe"

 Terminar o processo A seguinte lista de processos são terminados:
   • AvastSvc.exe
   • avgcsrvx.exe
   • avguard.exe
   • avgupd.exe
   • avp.exe
   • ccSvcHst.exe
   • ekrn.exe
   • mcupdate.exe
   • update.exe


 Backdoor Contacta o servidor:
Seguinte:
   • 200.58.119.**********:443

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.

Envia informação sobre:
    • Informação sobre o sistema operativo Windows


Capacidades de controlo remoto:
    • Envia emails
    • Termina processos
    • Visita um Web site

 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa remota num processo.

    Nome do processo:
   • explorer.exe

   Se concluir com êxito, o processo de malware termina enquanto a parte injetada permanece ativa.

 Informações diversas Texto:
Além disso contém os seguintes blocos de texto:
   • select * from moz_logins
   • \Mozilla\Firefox\

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Andrei Ilie em segunda-feira, 1 de agosto de 2011
Descrição atualizada por Andrei Ilie em quarta-feira, 3 de agosto de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.