W32/Hidrag.a - Malware

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	W32/Hidrag.a
Data em que surgiu:	13/04/2005
Tipo:	File infector
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	De baixo a médio
Nível de risco:	De baixo a médio
Ficheiro estático:	Não
Tamanho:	~ 36.352 Bytes
Versão VDF:	6.30.00.93

Vulgarmente Meio de transmissão:
   • Unidade de rede

Alias:
   • Symantec: W32.Jeefo
   • Mcafee: W32/Jeefo
   • Kaspersky: Virus.Win32.Hidrag.a
   • TrendMicro: PE_JEEFO.A
   • F-Secure: Virus.Win32.Hidrag.a
   • Sophos: W32/Jeefo-A
   • Grisoft: Win32/Hidrag.A
   • Eset: Win32/Jeefo.A
   • Bitdefender: Win32.Jeefo.A

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows

   Description

   W32/Hidrag.a is a non-dangerous memory resident virus that infects Win32 PE EXE files.

   The virus searches for files to infect and upon infection it encrypts part of the file.

   When an infected file is executed, it drops the first-generation infector in the Windows directory as svchost.exe, which is registered as "Power Manager" service (on Windows NT/2000/XP). The virus then executes the original file without manifesting itself in any way.

Ficheiros É criado o seguinte ficheiro:

– %WINDIR%\svchost.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: W32/Hidrag.a

Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\PowerManager]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\svchost.exe"
   • "DisplayName"="Power Manager"
   • "ObjectName"="LocalSystem"
   • "Description"="Manages the power save features of the computer."

– [HKLM\SYSTEM\CurrentControlSet\Services\PowerManager]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\PowerManager\Enum]
   • "0"="Root\\LEGACY_POWERMANAGER\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Informações diversas Mutex:
Cria o seguinte Mutex:
• PowerManagerMutant

Texto:
Além disso tem o seguinte texto:
• Hidden Dragon virus. Born in a tropical swamp.

Veja aqui uma breve descrição.

Descrição adicionada por Daniel Constantin em Tue, 03 Apr 2007 08:55 (GMT+1)
Descrição adicionada por Daniel Constantin em Tue, 03 Apr 2007 10:26 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back