Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWORM/Roron.50.A
Data em que surgiu:10/07/2003
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Baixo
Versão VDF:6.20.00.35 - quinta-feira, 10 de julho de 2003
Versão IVDF:6.20.00.35 - quinta-feira, 10 de julho de 2003

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Mcafee: W32/Oror.gen@MM virus
   •  Kaspersky: Email-Worm.Win32.Roron.50.a
   •  F-Secure: Email-Worm.Win32.Roron.50.a
   •  Sophos: W32/Oror-M
   •  Bitdefender: Win32.Roron.A@mm
   •  AVG: Worm/Opanki.AJ
   •  Panda: W32/Oror.Q
   •  Grisoft: I-Worm/Roron
   •  Eset: Win32/Roron.50.B worm
   •  Fortinet: suspicious
   •  Norman: Oror.AG


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • %SYSDIR%\Syscnav_.def
   • %SYSDIR%\vancRun.vxd
   • %WINDIR%\cnav98.sys
   • %SYSDIR%\Syscnav_.def
   • %WINDIR%\Faith.ini

– Ficheiros temporários que poderam ser apagados mais tarde:
   • %temp%/OAG3.tmp
   • %temp%/OAG4.tmp
   • %temp%/OAG5.tmp

%WINDIR%\Cmdcnav32.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware.
%PROGRAM FILES%\Common Files\Common16.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware.
%SYSDIR%\$winnt$.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware.

 Registry (Registo do Windows) Para cada chave de registo é adicionado um dos seguintes valores para executar os processos depois reinicializar:

–  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%SYSDIR%\$winnt$.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Common StartUp"="%PROGRAM FILES%\Common Files\Common16.exe"
   • "LoadSystem"="Cmdcnav32.exe powrprof.dll,LoadCurrentPwrScheme"



São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Classes\exefile\shell\open\command]
   • "(Default)"="Cmdcnav32.exe "%1" %*"

– [HKCR\exefile\shell\open\command]
   • "(Default)"="Cmdcnav32.exe "%1" %*"

Descrição enviada por Wensin Lee em terça-feira, 5 de março de 2013
Descrição atualizada por Wensin Lee em terça-feira, 5 de março de 2013

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.