Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/FakeAV.anm
Data em que surgiu:14/07/2011
Tipo:Trojan
Includo na lista "In The Wild"No
Nvel de danos:Baixo
Nvel de distribuio:Baixo
Nvel de risco:De baixo a mdio
Ficheiro esttico:Sim
Tamanho:524.288 Bytes
MD5 checksum:88F32B47676BEA874374EE2CDDF5EE5A
Verso VDF:7.11.11.156 - quinta-feira, 14 de julho de 2011
Verso IVDF:7.11.11.156 - quinta-feira, 14 de julho de 2011

 Vulgarmente Alias:
   •  TrendMicro: TROJ_VUNDO.SMIB
   •  Sophos: Mal/FakeAV-MQ
     Microsoft: Rogue:Win32/FakeRean


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Efeitos secundrios:
   • Descarrega ficheiros
    Gera relatrios falsos de infeco de malware ou problemas do sistema e oferece solues para corrigir o problema se o usurio comprar o aplicativo.
   • Altera o registo do Windows


Depois de executado visualizada a seguinte informao:


 Ficheiros Autocopia-se para a seguinte localizao:
   • %HOME%\Local Settings\Application Data\%uma srie de caracteres aleatrios%.exe



Apaga a cpia executada inicialmente.

 Registry (Registo do Windows) Para cada chave de registo adicionado um dos seguintes valores para executar os processos depois reinicializar:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%uma srie de caracteres aleatrios%"="%APPDATA%\%uma srie de caracteres aleatrios%.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="%SYSDIR%\ctfmon.exe"
   • "2806989990"="%HOME%\Local Settings\Application Data\%uma srie de caracteres aleatrios%.exe"



Cria as seguintes entradas de forma a fazer um bypass firewall do Windows XP:

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"=dword:00000000
   • "DoNotAllowExceptions"=dword:00000000
   • "DisableNotifications"=dword:00000001

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile]
   • "EnableFirewall"=dword:00000000
   • "DoNotAllowExceptions"=dword:00000000
   • "DisableNotifications"=dword:00000001



adicionada a seguinte chave de registo:

[HKCR\.exe\shell\open\command]
   • "(Default)"="\"%HOME%\Local Settings\Application Data\%uma srie de caracteres aleatrios%.exe\" -a \"%1\" %*"
   • "IsolatedCommand"="\"%1\" %*"

 Informaes diversas Recursos de acesso Internet:
   • **********owonido.com; **********ijeqipif.com;
      **********ulaxavys.com; **********ihylite.com;
      **********yhudesu.com; **********okelara.com;
      **********ekekejepuvo.com; **********osozupuf.com;
      **********tiroda.com; **********uqaroxos.com;
      **********igijito.com; **********omumehyn.com;
      **********inyfybex.com; **********izesax.com;
      **********rosoft.com; **********ihynybihy.com;
      **********yruqyn.com; **********oloquv.com;
      **********arucukom.com; **********akywuseleri.com;
      **********exyposenebi.com; **********yhixasuhu.com;
      **********ijixiwidaz.com; **********ucyvybumyka.com;
      **********ocyril.com; **********igicigisav.com;
      **********hubolype.com; **********urihezoqe.com;
      **********yvasibi.com; **********yraceke.com;
      **********icofez.com; **********olidejypo.com;
      **********uzyrywovaj.com; **********ecikodovi.com;
      **********uhuziqys.com; **********yvagyxut.com;
      **********unider.com; **********ipijuxoj.com;
      **********apehyni.com; **********ysasowebaty.com;
      **********jajyb.com; **********wiguxake.com;
      **********lyxagesop.com; **********rezaba.com;
      **********icefydyn.com; **********ebelywa.com;
      **********ybilyxu.com; **********aziweboxe.com

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.

Descrição enviada por Andrei Ilie em sexta-feira, 7 de outubro de 2011
Descrição atualizada por Andrei Ilie em segunda-feira, 10 de outubro de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.