Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/AutoIt.AF
Data em que surgiu:16/07/2010
Tipo:Worm
Includo na lista "In The Wild"No
Nvel de danos:De baixo a mdio
Nvel de distribuio:De baixo a mdio
Nvel de risco:De baixo a mdio
Ficheiro esttico:Sim
Tamanho:222.092 Bytes
MD5 checksum:d84a73bdde2ef478a5efd90af5c857e3
Verso VDF:7.10.04.21
Verso IVDF:7.10.09.108 - sexta-feira, 16 de julho de 2010

 Vulgarmente Meios de transmisso:
    Recurso de execuo automtica
    Messenger


Alias:
   •  F-Secure: Gen:Trojan.Heur.nmMfrzSTdNgib
   •  Bitdefender: Gen:Trojan.Heur.nmMfrzSTdNgib
     GData: Gen:Trojan.Heur.nmMfrzSTdNgib
     DrWeb: Win32.HLLW.Texmer.51


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizaes
   • %WINDIR%\SSVICHOSST.exe
   • %unidade%\SSVICHOSST.exe
   • %SYSDIR%\SSVICHOSST.exe



So criados os seguintes ficheiros:

%SYSDIR%\autorun.ini
%unidade%\autorun.inf um ficheiro de texto no malicioso com o seguinte contedo:
   • %cdigo que executa malware%




Tenta executar o seguinte ficheiro:

Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe /C AT /delete /yes


Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\SSVICHOSST.exe

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Yahoo Messengger"="%SYSDIR%\SSVICHOSST.exe"



So adicionadas as seguintes chaves ao registo:

[HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • "AtTaskMaxHours"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • "shared"="\New Folder.exe"

 Messenger Propaga-se atravs do Messenger. Tem as seguintes caractersticas:

 Yahoo Messenger


Mensagem
A mensagem enviada parece-se com uma das seguintes:

   • ang Web nay coi cung hay, vao coi thu di http://nhatquanglan1.0catch.com
     may, vao day coi co con nho nay ngon lam http://nhatquanglan1.0catch.com
     o day nghe bai nay di ban http://nhatquanglan1.0catch.com

 Informaes diversas Recursos de acesso Internet:
   • http://nhatquanglan3.t3**********.com
   • http://nhatquanglan4.t3**********.com

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Wensin Lee em segunda-feira, 16 de abril de 2012
Descrição atualizada por Wensin Lee em segunda-feira, 16 de abril de 2012

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.