Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Winlock.JQ
Data em que surgiu:28/01/2013
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:53.248 Bytes
MD5 checksum:9ED81996C4B43445E871F22FBFB8FE4A
Versão VDF:7.11.59.00 - terça-feira, 29 de janeiro de 2013
Versão IVDF:7.11.59.00 - terça-feira, 29 de janeiro de 2013

 Vulgarmente Meio de transmissão:
   • Ao visitar sites infectados


Alias:
   •  Sophos: Mal/EncPk-AGD
   •  Bitdefender: Trojan.Generic.KDV.841110
   •  Microsoft: Trojan:Win32/Tobfy.G
   •  AVG: Agent.7.BZ
   •  Panda: Trj/Dtcontx.A
   •  Eset: Win32/LockScreen.ANX
   •  DrWeb: Trojan.Winlock.7431


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efeitos secundários:
   • Descarrega ficheiros
   • Baixa as definições de segurança
   • Altera o registo do Windows


Depois de executado é visualizada a seguinte informação:


 Ficheiros Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • orga**********s.php
Encontra-se no disco rígido: %temporary internet files%\Content.IE5\I1EFMT07\tds[1].htm

– A partir da seguinte localização:
   • orga**********ry.js
Encontra-se no disco rígido: %temporary internet files%\Content.IE5\89ATUD5F\jquery[1].js

– A partir da seguinte localização:
   • orga**********ook.otf
Encontra-se no disco rígido: %temporary internet files%\Content.IE5\PH912CMN\PFBeauSansPro-Bbook[1].otf

– A partir da seguinte localização:
   • orga**********e.css
Encontra-se no disco rígido: %temporary internet files%\Content.IE5\89ATUD5F\style[1].css

– A partir da seguinte localização:
   • orga**********old.otf
Encontra-se no disco rígido: %temporary internet files%\Content.IE5\PH912CMN\PFBeauSansPro-Bold[1].otf

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "sv\0x00F1h\0x00EEst"="%raiz da unidade de sistema%\%aleatório%\%uma série de caracteres aleatórios%.exe"



A seguinte chave de registo e todos os valores são eliminados:
   • [HKLM\SYSTEM\ControlSet001\Control\SafeBoot]



São adicionadas as seguintes chaves ao registo:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"=".exe;"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Attachments]
   • "SaveZoneInformation"=dword:00000001

Descrição enviada por Eric Burk em quinta-feira, 31 de janeiro de 2013
Descrição atualizada por Alexander Vukcevic em sexta-feira, 1 de fevereiro de 2013

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.