Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Nuqel.BE.7
Data em que surgiu:23/11/2011
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Tamanho:721745 Bytes
MD5 checksum:759ca80274db9600865f98dd29ea7d5a
Versão VDF:7.11.18.17 - quarta-feira, 23 de novembro de 2011
Versão IVDF:7.11.18.17 - quarta-feira, 23 de novembro de 2011

 Vulgarmente Meio de transmissão:
   • Recurso de execução automática


Alias:
   •  Mcafee: W32/YahLover.worm.gen
   •  Kaspersky: Worm.Win32.AutoIt.dn
   •  Bitdefender: Win32.Worm.Sohanat.CK
   •  Grisoft: Dropper.Generic4.CAYF
   •  Eset: Win32/Autoit.EP.Gen worm
   •  GData: Win32.Worm.Sohanat.CK
   •  Norman: New unknown virus W32/Obfuscated.H!genr


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efeitos secundários:
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\gphone.exe
   • %WINDIR%\gphone.exe

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Yahoo Messengger"="c:\windows\\system32\\gphone.exe"



São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "NofolderOptions"=dword:00000001

– HKLM\SYSTEM\ControlSet001\Services\Schedule
   • "AtTaskMaxHours"=dword:00000000

– HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings
   • "ProxyEnable"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
   • "Start Page"="http://rnd009.googlepages.com/google.html"



Altera as seguintes chaves de registo do Windows:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Valor anterior:
   • "Shell"="Explorer.exe"
   Valor recente:
   • "Shell"="Explorer.exe gphone.exe"

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
   Valor anterior:
   • "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   • "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   • "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   Valor recente:
   • "Default_Page_URL"="http://rnd009.googlepages.com/google.html"
   • "Default_Search_URL"="http://rnd009.googlepages.com/google.html"
   • "Search Page"="http://rnd009.googlepages.com/google.html"

Home page do Internet Explorer:

– HKCU\Software\Microsoft\Internet Explorer\Main
   Valor anterior:
   • "Start Page"="about:blank"
   Valor recente:
   • "Start Page"="http://rnd009.googlepages.com/google.html"

 Informações diversas Recursos de acesso à Internet:
   • **********go.**********pages.com/setting.ini
   • **********cam.**********pages.com/setting.ini


Manipulador de eventos:
Cria o seguinte Manipulador de eventos:
   • CloseServiceHandle
   • OpenSCManager
   • ReadProcessMemory
   • WriteProcessMemory
   • GetKeyState
   • GetAsyncKeyState
   • HttpOpenRequest
   • FtpOpenFile
   • InternetOpenUrl
   • InternetOpen
   • GetDriveType
   • CreateFile
   • ShellExecute

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Wensin Lee em quarta-feira, 30 de maio de 2012
Descrição atualizada por Wensin Lee em quarta-feira, 30 de maio de 2012

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.