Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Injector.LO
Data em que surgiu:25/04/2012
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Alto
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:67.072 Bytes
MD5 checksum:b2b0c8d66ef083810Bcf5f54e15ee806
Versão VDF:7.11.28.152
Versão IVDF:7.11.28.152

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan.Win32.Inject.dzsp
   •  Grisoft: SHeur4.AAYW
   •  Eset: Win32/Trustezeb.A
   •  GData: Trojan.Injector.ADI
   •  Norman: Trojan W32/Suspicious_Gen4.ACYPJ


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efeitos secundários:
   • Altera o registo do Windows


Depois de executado é visualizada a seguinte informação:


 Ficheiros Autocopia-se para as seguintes localizações
   • %APPDATA%\Realtec\Realtecdriver.exe
   • %APPDATA%\Qvmh\C10199CBD8812EB1F92D.exe
   • %TEMP%\%texto com 10 dígitos aleatórios%.pre
   • %SYSDIR%\3E5D1393D8812EB16C61.exe



Apaga a cópia executada inicialmente.

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Realtecdriver"="%APPDATA\Realtec\Realtecdriver.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\3E5D1393D8812EB16C61.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "D8812EB1"="%APPDATA\Qvmh\C10199CBD8812EB1F92D.exe"



Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%TEMP%\%texto com 10 dígitos aleatórios%.pre;"

 Introdução de código viral noutros processos – Introduz-se a si próprio num processo.

 Informações diversas Ligação à internet:
Para conferir a sua ligação à internet são contatados os seguintes servidores de DNS :
   • http://**********-a.com/**********.php?id=D8812EB1434E41564549&cmd=img
   • http://**********-a.com/**********.php?id=D8812EB1434E41564549&cmd=lfk&data=uJXbykvbhoZH1VxnSk0wIYg6TtL2zhzZ


Manipulador de eventos:
Cria o seguinte Manipulador de eventos:
   • CreateService
   • StartService
   • CreateRemoteThread
   • HttpOpenRequest
   • FtpOpenFile
   • InternetOpenUrl
   • InternetOpen
   • GetDriveType
   • CreateFile
   • CreateToolhelp32Snapshot
   • ShellExecute

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Wensin Lee em quinta-feira, 26 de abril de 2012
Descrição atualizada por Matthias Schlindwein em quinta-feira, 26 de abril de 2012

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.