VírusTR/FakeAV.oke
Data em que surgiu:06/12/2011
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:445.576 Bytes
MD5 checksum:7a14060028698e2a2c5c64eb262c6868
Versão VDF:7.11.19.02 - terça-feira, 6 de dezembro de 2011
Versão IVDF:7.11.19.02 - terça-feira, 6 de dezembro de 2011

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan.Win32.Jorik.Fraud.jor
   •  Eset: Win32/Kryptik.WTQ


Sistemas Operativos:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efeitos secundários:
   • Descarrega um ficheiro
   • Descarrega um ficheiro malicioso
   • Gera relatórios falsos de infecção de malware ou problemas do sistema e oferece soluções para corrigir o problema se o usuário comprar o aplicativo.
   • Altera o registo do Windows


Logo a seguir a ser visualizada a seguinte informação:



 Ficheiros Autocopia-se para a seguinte localização:
   • %APPDATA%\gPtgkqBGrot.exe
Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware.



Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://danelubinnalas.com/?ylO**********
Encontra-se no disco rígido: %TEMPDIR%\%uma série de caracteres aleatórios%.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Crypt.XPACK.Gen

 Registry (Registo do Windows) São adicionadas as seguintes chaves ao registo:

– [HKCU\Control Panel]
   • "nsreg"="dword:0x4ee4fbe1"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Start_ShowControlPanel"="dword:0x00000000"
   • "Start_ShowHelp"="dword:0x00000000"
   • "Start_ShowMyComputer"="dword:0x00000000"
   • "Start_ShowMyDocs"="dword:0x00000000"
   • "Start_ShowMyGames"="dword:0x00000000"
   • "Start_ShowMyMusic"="dword:0x00000000"
   • "Start_ShowMyPics"="dword:0x00000000"
   • "Start_ShowNetConn"="dword:0x00000000"
   • "Start_ShowNetPlaces"="dword:0x00000000"
   • "Start_ShowPrinters"="dword:0x00000000"
   • "Start_ShowRecentDocs"="dword:0x00000000"
   • "Start_ShowRun"="dword:0x00000000"
   • "Start_ShowSearch"="dword:0x00000000"
   • "Start_ShowSetProgramAccessAndDefaults"="dword:0x00000000"
   • "Start_ShowUser"="dword:0x00000000"
   • "TaskbarGlomLevel"="dword:0x00000002"
   • "TaskbarGlomming"="dword:0x00000000"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   • "EnableAutoTray"="dword:0x00000000"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband]
   • ""=""
   • "_Favorites"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   • ""=""
   • "HidNoChangingWallPaperden"="dword:0x00000001"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • ""=""
   • "LowRiskFileTypess"=".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Attachments]
   • ""=""
   • "SaveZoneInformation"="dword:0x00000001"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoDesktop"="dword:0x00000001"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • ""=""
   • "DisableTaskMgr"="dword:0x00000001"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "DisableTaskMgr"="dword:0x00000001"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "gPtgkqBGrot.exe"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gPtgkqBGrot.exe"

– [HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\
   Control Panel]
   • "5761b2dc-ce77-4bfa-b965-6f33b1867cf2"=""
   • "7f6b3266-31c5-43a8-9547-e7911ad6fb33"=""
   • "nsreg"="dword:0x4ee4fbe1"

– [HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Start_ShowControlPanel"="dword:0x00000000"
   • "Start_ShowHelp"="dword:0x00000000"
   • "Start_ShowMyComputer"="dword:0x00000000"
   • "Start_ShowMyDocs"="dword:0x00000000"
   • "Start_ShowMyGames"="dword:0x00000000"
   • "Start_ShowMyMusic"="dword:0x00000000"
   • "Start_ShowMyPics"="dword:0x00000000"
   • "Start_ShowNetConn"="dword:0x00000000"
   • "Start_ShowNetPlaces"="dword:0x00000000"
   • "Start_ShowPrinters"="dword:0x00000000"
   • "Start_ShowRecentDocs"="dword:0x00000000"
   • "Start_ShowRun"="dword:0x00000000"
   • "Start_ShowSearch"="dword:0x00000000"
   • "Start_ShowSetProgramAccessAndDefaults"="dword:0x00000000"
   • "Start_ShowUser"="dword:0x00000000"
   • "TaskbarGlomLevel"="dword:0x00000002"
   • "TaskbarGlomming"="dword:0x00000000"

– [HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Windows\CurrentVersion\Explorer]
   • "EnableAutoTray"="dword:0x00000000"

– [HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Windows\CurrentVersion\Explorer\Taskband]
   • ""=""
   • "_Favorites"=""

– [HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
   • ""=""
   • "HidNoChangingWallPaperden"="dword:0x00000001"

– [HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Windows\CurrentVersion\Policies\Associations]
   • ""=""
   • "LowRiskFileTypess"=".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;"

– [HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Windows\CurrentVersion\Policies\Attachments]
   • ""=""
   • "SaveZoneInformation"="dword:0x00000001"
   •

– [HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoDesktop"="dword:0x00000001"

– [HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Windows\CurrentVersion\Policies\System]
   • ""=""
   • "DisableTaskMgr"="dword:0x00000001"



Altera as seguintes chaves de registo do Windows:

– [HKCU\Software\Microsoft\Internet Explorer\Download]
   Valor anterior:
   • "CheckExeSignatures"="yes"
   Valor recente:
   • "CheckExeSignatures"="no"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Hidden"="dword:0x00000001"
   Valor recente:
   • "Hidden"="dword:0x00000000"

– [HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Internet Explorer\Download]
   Valor anterior:
   • "CheckExeSignatures"="yes"
   Valor recente:
   • "CheckExeSignatures"="no"

– [HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Hidden"="dword:0x00000001"
   Valor recente:
   • "Hidden"="dword:0x00000000"
   Valor recente:
   • "Order"="hex:08,00,00,00,02,00,00,00,0c,00,00,00,01,00,00,00,00,00,00,00"
   Valor anterior:
   • "Favorites"="hex:00,16,00,00,00,14,00,1f,80,f4,a1,59,25,d7,21,d4,11,bd,af,00,c0,\
   • ,4f,60,b9,f0,00,00,00,16,00,00,00,14,00,1f,80,f5,a1,59,25,d7,\
   • ,21,d4,11,bd,af,00,c0,4f,60,b9,f0,00,00,ff"

– [HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Windows\CurrentVersion\Explorer\StartPage]
   Valor anterior:
   • "StartMenu_Balloon_Time"="hex:3a,3c,36,65,63,bd,cb,01"
   Valor recente:
   • "StartMenu_Balloon_Time"="hex:68,b1,42,69,36,b8,cc,01"

 Terminar o processo O seguinte processo é terminado:
   • %todos os processo em execução%


 Informações diversas Recursos de acesso à Internet:
   • http://stepinstoneuse.com/**********.php?0Q9**********
   • http://danelubinnalas.com/?ylO**********

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.

Descrição enviada por Martin Muench em sexta-feira, 9 de dezembro de 2011
Descrição atualizada por Martin Muench em terça-feira, 20 de dezembro de 2011

Voltar . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Todos os direitos reservados.

Minha Conta

https:// Esta janela é criptografada para sua segurança.