Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWORM/Hamweq.A.152
Data em que surgiu:04/07/2011
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:45.056 Bytes
MD5 checksum:92D4073A3AE551192626351C419AF423
Versão VDF:7.11.10.205 - segunda-feira, 4 de julho de 2011
Versão IVDF:7.11.10.205 - segunda-feira, 4 de julho de 2011

 Vulgarmente Meio de transmissão:
   • Recurso de execução automática


Alias:
   •  Kaspersky: Trojan.Win32.Pincav.bgui
   •  Bitdefender: Trojan.Downloader.JJRI
   •  Microsoft: Worm:Win32/Hamweq.A


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efeitos secundários:
   • Descarrega ficheiros
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %lixeira%\S-1-5-21-1482476501-1644491937-682003330-1013\vsounds.exe



É criado o seguinte ficheiro:

%lixeira%\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

 Registry (Registo do Windows) É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
   • "StubPath"="%lixeira%\S-1-5-21-1482476501-1644491937-682003330-1013\vsounds.exe"

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: **********eb.nad123nad.com
Porta: 1122
Nickname: %uma série de caracteres aleatórios%



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Nome de utilizador
    • Informação sobre o sistema operativo Windows


– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Desliga-se do servidor de IRC
    • Ligação ao canal IRC
    • Abandona canais IRC

 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa remota num processo.

    Nome do processo:
   • explorer.exe


 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Andrei Ilie em quarta-feira, 12 de outubro de 2011
Descrição atualizada por Andrei Ilie em quinta-feira, 13 de outubro de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.