Laboratório de vírus Avira

TR/Autoit.CI.14

  • Nome
    TR/Autoit.CI.14
  • Data em que surgiu
    08/10/2015
  • Versão do VDF
    7.00.04.193 (2008-06-13 15:18)

O termo 'TR' refere-se a um Cavalo de Troia que pode espionar dados, violar sua privacidade ou realizar modificações indesejadas no sistema.

  • VDF
    7.00.04.193 (2008-06-13 15:18)
  • Alias
    Avast: Win32:Virtu-C
    AVG: Autoit.DB
    ClamAV: Trojan.Siggen-7
    Dr. Web: Win32.Virut.5
    F-PROT: W32/Virut.AJ
    Trend Micro: PE_VIRUX.J-1
    Microsoft: Trojan:Win32/Dorv.A
    G Data: Win32.Virtob.X
    Kaspersky Lab: Worm.Win32.AutoRun.dtbv
    Bitdefender: Win32.Virtob.X
    ESET: Win32/Autoit.DB worm
  • Arquivos
    Os seguintes arquivos foram excluídos:
    • %TEMPDIR%\aut4E.tmp
    Os seguintes arquivos foram criados:
    • %TEMPDIR%\aut4E.tmp
    • %WINDIR%\Tasks\At1.job
    • %SYSDIR%\setup.ini
    • %SYSDIR%\setting.ini
    As seguintes cópias foram criadas:
    • %SYSDIR%\regsvr.exe
    • %WINDIR%\regsvr.exe
    • %SYSDIR%\svchost .exe
    Os seguintes arquivos foram alterados:
    • %SYSDIR%\cmd.exe
    • %temporary internet files%\Content.IE5\index.dat
    • %USERPROFILE%\Cookies\index.dat
    • %USERPROFILE%\Local Settings\History\History.IE5\index.dat
    • %WINDIR%\Prefetch\CMD.EXE-087B4001.pf
    • %temporary internet files%\Content.IE5\index.dat
    • %USERPROFILE%\Cookies\index.dat
    • %USERPROFILE%\Local Settings\History\History.IE5\index.dat
    • %PROGRAM FILES%\Java\jre7\bin\javaw.exe
  • Injeções
    • \??\%SYSDIR%\winlogon.exe
    • %SYSDIR%\services.exe
    • %SYSDIR%\lsass.exe
    • %SYSDIR%\svchost.exe
    • %WINDIR%\System32\svchost.exe
    • %WINDIR%\Explorer.EXE
    • %SYSDIR%\spoolsv.exe
    • %WINDIR%\System32\alg.exe
    • %SYSDIR%\wscntfy.exe
    • %PROGRAM FILES%\Java\jre7\bin\jqs.exe
    • %PROGRAM FILES%\WinPcap\rpcapd.exe
  • Registro
    Altera as seguintes entidades de registo:
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\SFC ("ProgramFilesDir": "%PROGRAM FILES%"; "CommonFilesDir": "%PROGRAM FILES%\Common Files")
    São adicionadas as seguintes entidades de registro:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ("Msn Messsenger": "%SYSDIR%\regsvr.exe")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ("NofolderOptions": dword:00000000)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ("DisableTaskMgr": dword:00000000; "DisableRegistryTools": dword:00000001)
    • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections ("SavedLegacySettings": %hex values%)
    • HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings ("ProxyEnable": dword:00000000)
    • HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings ("ProxyEnable": dword:00000000)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares ("shared": "\New Folder .exe")

Ajude a tornar a rede mais segura enviando-nos arquivos/URLs suspeitos para análise.

Envie o seu arquivo/URL Ou Acesse o Avira Answers

Porque enviar um arquivo suspeito?

Se você encontrou um arquivo ou um website suspeito que não está na nossa base de dados, nós analisaremos e determinaremos se ele é nocivo. As nossas descobertas são, então, enviadas aos nossos milhões de usuários através da próxima atualização da base de dados de vírus. Se você possui o Avira, você obterá essa atualização também. Não possui o Avira? Obtenha-o através do nossa página inicial.

O que é o Avira Answers?

Esta é a nossa próspera comunidade de profissionais técnicos e especialistas a meio período, trabalhando em conjunto para ajudar a resolver os problemas da tecnologia. É o lugar perfeito onde fazer as suas perguntas, em uma comunidade de colegas usuários do Avira.