Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusTR/Skelf.A
Data em que surgiu:17/05/2012
Tipo:Trojan
Includo na lista "In The Wild"No
Nvel de danos:De mdio a elevado
Nvel de distribuio:Baixo
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:34.477 Bytes
MD5 checksum:78EE9C318793ADB145A5ABDC07DB8F1B
Verso VDF:7.11.30.90 - quinta-feira, 17 de maio de 2012
Verso IVDF:7.11.30.90 - quinta-feira, 17 de maio de 2012

 Vulgarmente Meio de transmisso:
   • No tem rotinas de propagao


Alias:
   •  Eset: Win32/Trustezeb.B
     DrWeb: Trojan.Winlock.5908


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Efeitos secundrios:
   • Baixa as definies de segurana
   • Altera o registo do Windows


Depois de executado visualizada a seguinte informao:


 Ficheiros Autocopia-se para as seguintes localizaes
   • %TEMPDIR%\%uma srie de caracteres aleatrios%.pre
   • %SYSDIR%\%uma srie de caracteres aleatrios% .exe
   • %APPDATA%\%uma srie de caracteres aleatrios%\%uma srie de caracteres aleatrios%.exe



Apaga a cpia executada inicialmente.

 Registry (Registo do Windows) So adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %uma srie de caracteres aleatrios% = %APPDATA%\%uma srie de caracteres aleatrios%\%uma srie de caracteres aleatrios%.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\%uma srie de caracteres aleatrios%.exe,"



A seguinte chave de registo e todos os valores so eliminados:
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]



So adicionadas as seguintes chaves ao registo:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe
   • "Debugger"="%uma srie de caracteres aleatrios%.EXE"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe
   • "Debugger"="%uma srie de caracteres aleatrios%.EXE"



Altera as seguintes chaves de registo do Windows:

Home page do Internet Explorer:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
   Valor recente:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegedit"=dword:00000001

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Valor recente:
   • "DisableRegistryTools"=dword:00000001
   • "DisableRegedit"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

 Introduo de cdigo viral noutros processos Introduz-se a si prprio como uma tarefa remota num processo.

    Nome do processo:
   • %SYSDIR%\ctfmon.exe

   Se concluir com xito, o processo de malware termina enquanto a parte injetada permanece ativa.

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com o seguinte empacotador de runtime:
   • UPX


Criptografia:
Criptografado - O cdigo do vrus est criptografado no arquivo.

Descrição enviada por Ana Maria Niculescu em quinta-feira, 17 de maio de 2012
Descrição atualizada por Andrei Gherman em quinta-feira, 17 de maio de 2012

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.