English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/KillFiles.JA
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TR/KillFiles.JA - Trojan
Ver também
Sumário
Descrição completa
Estatísticas
How would you rate this information?
Worthless
Excellent
Vírus
TR/KillFiles.JA
Data em que surgiu:
13/07/2006
Tipo:
Trojan
Incluído na lista "In The Wild"
Sim
Nível de danos:
Baixo
Nível de distribuição:
Baixo
Nível de risco:
Alto
Ficheiro estático:
Sim
Tamanho:
9.008 Bytes
MD5 checksum:
8bb7961e5b018190ac5950d96605e0b8
Versão VDF:
6.35.00.126
Versão IVDF:
6.35.00.154
Vulgarmente
Meio de transmissão:
• Não tem rotinas de propagação
Alias:
• Kaspersky: Trojan.Win32.KillFiles.ja
• TrendMicro: TROJ_KILLFILE.AV
Sistemas Operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efeitos secundários:
• Descarrega ficheiros maliciosos
• Altera o registo do Windows
Logo a seguir a ser visualizada a seguinte informação:
Ficheiros
Autocopia-se para as seguintes localizações
•
%SYSDIR%
\Persian-X27.exe
•
%WINDIR%
\Miscreant.exe
Envia cópias de si mesmo usando um nome das listas seguintes:
– Para:
%todas as pastas%
Usando um dos nomes seguintes:
• OnLine.exe
• Service.exe
• Music.exe
• Girls.exe
• Women.exe
• DJ Tattoo.exe
• Funny.exe
• Trollop.exe
• Scamp.exe
• Puck.exe
• Pixy.exe
• OedipusComplex.exe
• Nursling.exe
• Matrix.exe
• Loon.exe
• Phallic.exe
• Watchfulness.exe
• Heavy.exe
• Nightcap.exe
• Brilliance.exe
• Wittol.exe
• Whorish.exe
• Whoreson.exe
• Ribald.exe
• Quean.exe
• Nag.exe
• Magdalen.exe
• Mademe.exe
• Harridan.exe
• Harlot.exe
• Hackney.exe
• Fornicate.exe
• Besom.exe
• Townswoman.exe
• Lupanar.exe
• Fornication.exe
• FancyWomen.exe
• Drab.exe
• Doxy.exe
• Zoogenous.exe
• Sodomyh.exe
• Shoat.exe
• Saucebox.exe
• Pederasty.exe
• Oaf.exe
• Nanny.exe
• Adulteress.exe
• Abed.exe
• Bedfellow.exe
• Chemise.exe
• Nightwalker.exe
• Opiate.exe
• Sly.exe
• Whoremonger.exe
• Wench.exe
• Trul.exe
• Prostitute.exe
• Meretricious.exe
• Callet.exe
• GrassWidow.exe
• Geisha.exe
• Cockatrice.exe
• Zoogenic.exe
• Womb.exe
• Viviparity.exe
• Urchin.exe
• Uniparous.exe
• Tyke.exe
• Terror.exe
• Tad.exe
• Stillborn.exe
• Sissy.exe
• Raptor.exe
• Piddle.exe
• Parturient.exe
• Cuckold.exe
• Penis.exe
• Bedclothes.exe
• Cohabitant.exe
• Fluff.exe
• Sagacity.exe
• Knowing.exe
• Ingenious.exe
• Cunning.exe
• Strumpet.exe
• Streetwalker.exe
• Stallion.exe
• Moll.exe
• Lighto'love.exe
• Hetaira.exe
• Courtezan.exe
• Bordel.exe
Elimina os seguintes ficheiros:
•
%SYSDIR%
\Restore\rstrui.exe
•
%SYSDIR%
\Restore\srframe.mmf
•
%SYSDIR%
\Restore\srdiag.exe
•
:\
%todas as pastas%
\*.*
É criado o seguinte ficheiro:
–
:\
%todas as pastas%
\
%directório seleccionado aleatoriamente%
@li-RNo.H.Txt É um ficheiro de texto não malicioso com o seguinte conteúdo:
• Hi,How Are You ?
Ali Reza No.H.::.
My name is FoovaPartB
Registry (Registo do Windows)
O valor da seguinte chave Registo é eliminado:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
.
%letra%
%letra%
%letra%
\Application]
São adicionadas as seguintes chaves ao registo:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
• "NoDrives"=dword:00000004
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
.mp3]
• "Application"="
%SYSDIR%
\Persian-X27.exe"
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
.mp3\OpenWithList]
• "a"="
%SYSDIR%
\Persian-X27.exe"
– [HKCR\ArnhFile]
• @="E:\PersianMiscreant-X27 File"
– [HKCR\ArnhFile\DefaultIcon]
• @="
%SYSDIR%
\Persian-X27.exe"
– [HKCR\ArnhFile\shell]
– [HKCR\ArnhFile\shell\open]
– [HKCR\ArnhFile\shell\open\command]
• @="
%SYSDIR%
\Persian-X27.exe %L"
Altera as seguintes chaves de registo do Windows:
– [HKCR\.exe]
Valor anterior:
• @="exefile"
Valor recente:
• @="Mp3File"
– [HKCR\.
%letra%
%letra%
%letra%
]
Valor recente:
• @="ArnhFile"
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
.
%letra%
%letra%
%letra%
]
Valor recente:
• "Application"="
%SYSDIR%
\Persian-X27.exe"
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
.
%letra%
%letra%
%letra%
\OpenWithList]
Valor recente:
• "a"="
%SYSDIR%
\Persian-X27.exe"
– [HKCR\mp3file]
Valor recente:
• @="E:\PersianMiscreant-X27 File"
– [HKCR\mp3file\DefaultIcon]
Valor recente:
• @="
%SYSDIR%
\Persian-X27.exe"
– [HKCR\mp3file\shell\open\command]
Valor recente:
• @="
%SYSDIR%
\Persian-X27.exe %L"
Detalhes do ficheiro
Linguagem de programação:
Ficheiro escrito em Visual Basic.
Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• FSG
Veja
aqui
uma breve descrição.
Descrição adicionada por Monica Ghitun em Thu, 13 Jul 2006 14:24 (GMT+1)
Descrição adicionada por Monica Ghitun em Tue, 01 Aug 2006 15:48 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.CFI.Gen
Worm/Mytob.AD
Worm/Kidala.G
Worm/Mytob.BF
Worm/Mytob.AT
BDS/Frauder.bu
DR/Autoit.I.1
TR/Spy.ZBot.DFR
TR/VB.aei
EXP/Java.Gimsh.A.40
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info TR/KillFiles.JA
Print this page
.gif)
