Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Skelf.A
Data em que surgiu:17/05/2012
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:De médio a elevado
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:34.477 Bytes
MD5 checksum:78EE9C318793ADB145A5ABDC07DB8F1B
Versão VDF:7.11.30.90 - quinta-feira, 17 de maio de 2012
Versão IVDF:7.11.30.90 - quinta-feira, 17 de maio de 2012

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Eset: Win32/Trustezeb.B
   •  DrWeb: Trojan.Winlock.5908


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efeitos secundários:
   • Baixa as definições de segurança
   • Altera o registo do Windows


Depois de executado é visualizada a seguinte informação:


 Ficheiros Autocopia-se para as seguintes localizações
   • %TEMPDIR%\%uma série de caracteres aleatórios%.pre
   • %SYSDIR%\%uma série de caracteres aleatórios% .exe
   • %APPDATA%\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.exe



Apaga a cópia executada inicialmente.

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %uma série de caracteres aleatórios% = %APPDATA%\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.exe

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\%uma série de caracteres aleatórios%.exe,"



A seguinte chave de registo e todos os valores são eliminados:
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]



São adicionadas as seguintes chaves ao registo:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe
   • "Debugger"="%uma série de caracteres aleatórios%.EXE"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe
   • "Debugger"="%uma série de caracteres aleatórios%.EXE"



Altera as seguintes chaves de registo do Windows:

Home page do Internet Explorer:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
   Valor recente:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegedit"=dword:00000001

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Valor recente:
   • "DisableRegistryTools"=dword:00000001
   • "DisableRegedit"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa remota num processo.

    Nome do processo:
   • %SYSDIR%\ctfmon.exe

   Se concluir com êxito, o processo de malware termina enquanto a parte injetada permanece ativa.

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX


Criptografia:
Criptografado - O código do vírus está criptografado no arquivo.

Descrição enviada por Ana Maria Niculescu em quinta-feira, 17 de maio de 2012
Descrição atualizada por Andrei Gherman em quinta-feira, 17 de maio de 2012

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.