Precisa consertar seu PC?
Contrate um especialista
VírusTR/Fakealert.AN.88
Data em que surgiu:15/07/2011
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:327.680 Bytes
MD5 checksum:B2E93E6DEFBC258F7299A27962FA9BA3
Versão VDF:7.11.11.172 - sexta-feira, 15 de julho de 2011
Versão IVDF:7.11.11.172 - sexta-feira, 15 de julho de 2011

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  TrendMicro: Cryp_FakeAV-54
   •  Sophos: Mal/FakeAV-MQ
   •  Microsoft: Rogue:Win32/FakeRean


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efeitos secundários:
   • Bloqueia o acesso a Web sites de segurança
   • Descarrega ficheiros
   • Baixa as definições de segurança
   • Altera o registo do Windows


Logo a seguir a ser visualizada a seguinte informação:




 Ficheiros Autocopia-se para a seguinte localização:
   • %HOME%\Local Settings\Application Data\%uma série de caracteres aleatórios%.exe



Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

%TEMPDIR%\%uma série de caracteres aleatórios%
– %ALLUSERSPROFILE%\Application Data\%uma série de caracteres aleatórios%
– %HOME%\Local Settings\Application Data\%uma série de caracteres aleatórios%
%TEMPDIR%\%uma série de caracteres aleatórios%
– %HOME%\Templates\%uma série de caracteres aleatórios%

 Registry (Registo do Windows) São adicionadas as seguintes chaves ao registo:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "DoNotAllowExceptions"=dword:00000000
   • "EnableFirewall"=dword:00000000
   • "DisableNotifications"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile]
   • "EnableFirewall"=dword:00000000
   • "DoNotAllowExceptions"=dword:00000000
   • "DisableNotifications"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="%SYSDIR%\ctfmon.exe"

– [HKCR\.exe\shell\open\command]
   • "(Default)"="\"%HOME%\Local Settings\Application Data\\%uma série de caracteres aleatórios%.exe\" -a \"%1\" %*"
   • "IsolatedCommand"="\"%1\" %*"

– [HKCR\exefile\shell\open\command]
   • "(Default)"="\"%HOME%\Local Settings\Application Data\\%uma série de caracteres aleatórios%.exe\" -a \"%1\" %*"
   • "IsolatedCommand"="\"%1\" %*"

– [HKCR\exefile\shell\runas\command]
   • "(Default)"="\"%1\" %*"
   • "IsolatedCommand"="\"%1\" %*"

– [HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\
   command]
   • "(Default)"="\"%HOME%\Local Settings\Application Data\\%uma série de caracteres aleatórios%.exe\" -a \"%PROGRAM FILES%\Intern"



O seguinte valor do registo é alterado:

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valor recente:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001

 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa remota num processo.

    Nome do processo:
   • iexplore.exe


 Informações diversas Recursos de acesso à Internet:
   • **********yziriryvi.com/%vários dígitos aleatórios%;
      **********ipemura.com/%vários dígitos aleatórios%;
      **********awekugygil.com/%vários dígitos aleatórios%;
      **********ifyzadiby.com/%vários dígitos aleatórios%;
      **********ijinymut.com/%vários dígitos aleatórios%;
      **********uwemixonav.com/%vários dígitos aleatórios%;
      **********exynogemi.com/%vários dígitos aleatórios%;
      **********elaticik.com/%vários dígitos aleatórios%;
      **********inolecowary.com/%vários dígitos aleatórios%;
      **********ofociv.com/%vários dígitos aleatórios%;
      **********ucerybaqecy.com/%vários dígitos aleatórios%;
      **********upowibi.com/%vários dígitos aleatórios%;
      **********ujykolenuja.com/%vários dígitos aleatórios%;
      **********exyhun.com/%vários dígitos aleatórios%;
      **********oralipijago.com/%vários dígitos aleatórios%;
      **********ykacagatet.com/%vários dígitos aleatórios%;
      **********ulipum.com/%vários dígitos aleatórios%;
      **********isesyf.com/%vários dígitos aleatórios%;
      **********ityvik.com/%vários dígitos aleatórios%;
      **********ejutyhyfu.com/%vários dígitos aleatórios%;
      **********usaseda.com/%vários dígitos aleatórios%;
      **********ehiqino.com/%vários dígitos aleatórios%;
      **********idicawisos.com/%vários dígitos aleatórios%;
      **********ibipaj.com/%vários dígitos aleatórios%;
      **********ixydyf.com/%vários dígitos aleatórios%;
      **********unemymyko.com/%vários dígitos aleatórios%;
      **********upinycom.com/%vários dígitos aleatórios%;
      **********ygizeq.com/%vários dígitos aleatórios%;
      **********emolezala.com/%vários dígitos aleatórios%;
      **********ecolun.com/%vários dígitos aleatórios%

Descrição enviada por Andrei Ilie em sexta-feira, 14 de outubro de 2011
Descrição atualizada por Andrei Ilie em segunda-feira, 17 de outubro de 2011

Voltar . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Todos os direitos reservados.

Minha Conta

https:// Esta janela é criptografada para sua segurança.