Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWORM/Taterf.D.139
Data em que surgiu:06/06/2011
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:188.416 Bytes
MD5 checksum:35722947D510AC77AF35EBA32458F0C5
Versão VDF:7.11.09.37 - segunda-feira, 6 de junho de 2011
Versão IVDF:7.11.09.37 - segunda-feira, 6 de junho de 2011

 Vulgarmente Alias:
   •  Kaspersky: Trojan.Win32.Vaklik.lkp
   •  Microsoft: Worm:Win32/Taterf.D
   •  AhnLab: Win32/Taterf.worm.188416


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efeitos secundários:
   • Possibilita acesso não autorizado ao computador
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\jpking.exe



Apaga a cópia executada inicialmente.




Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://www.**********ducjs.com/1rb/ar.rar
Encontra-se no disco rígido: %SYSDIR%\jpking0.dll Outras investigações apontam para que este ficheiro, também, seja malware.

– A partir da seguinte localização:
   • http://www.**********duw5h.com/1rb/ar1.rar
Encontra-se no disco rígido: %SYSDIR%\jpking1.dll Outras investigações apontam para que este ficheiro, também, seja malware.

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "king_jp"="%SYSDIR%\jpking.exe"



É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
   • "urlinfo"="kghcd.n"

 Terminar o processo São terminados os processos com um dos seguintes textos:
   • FilMsg
   • Twister
   • preupd
   • BitDefender
   • AVP.EXE
   • AVGNT
   • avast


 Introdução de código viral noutros processos – Introduz-se a si próprio num processo.

    Nome do processo:
   • explorer.exe

   Se concluir com êxito, o processo de malware termina enquanto a parte injetada permanece ativa.

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com os seguintes empacotadores de runtime
   • PolyEnE
   • UPX
   • ASPack

Descrição enviada por Andrei Ilie em quarta-feira, 19 de outubro de 2011
Descrição atualizada por Andrei Ilie em quinta-feira, 20 de outubro de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.