Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Ircbrute.A.41
Data em que surgiu:26/05/2009
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Tamanho:380.341 Bytes
MD5 checksum:6845f2142762e16f27954662b5ffcd00
Versão VDF:7.01.04.18
Versão IVDF:7.01.04.19 - terça-feira, 26 de maio de 2009

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Bitdefender: Trojan.Generic.8995027
   •  AVG: Generic8_c.CXJ


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efeitos secundários:
   • Pode ser usado para executar código malicioso
   • Altera o registo do Windows

 Ficheiros É criado o seguinte ficheiro:

– Ficheiro não malicioso:
   • %temporary internet files%\Content.IE5\G9YZGDQJ\ip2country.hackers[1].htm

 Registry (Registo do Windows) Para cada chave de registo é adicionado um dos seguintes valores para executar os processos depois reinicializar:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Wind Update Agent"="C:\WindowsDirectory\systembinx64.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Wind Updater Agenta"="C:\WindowsDirectory\systembinx64.exe"



São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoSaveSettings"="dword:0x00000001"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "EnableLUA"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters]
   • "EnableFirewall"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"="dword:0x00000000"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
   • "EnableFirewall"="dword:0x00000000"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"="dword:0x00000000"



São adicionadas as seguintes chaves ao registo:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableChangePassword"="dword:0x00000001"
   • "DisableRegistryTools"="dword:0x00000001"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
   • "LockTaskbar"="dword:0x00000001"

 Informações diversas Ligação à internet:
Para conferir a sua ligação à internet são contatados os seguintes servidores de DNS :
   • ip2**********.hackers.lv
   • %uma série de caracteres aleatórios%.INFO


Manipulador de eventos:
Cria o seguinte Manipulador de eventos:
   • GetProcessWindowStation
   • FileTimeToLocalFileTime
   • LocalFileTimeToFileTime
   • LookupPrivilegeValueW
   • GetVolumeInformationW
   • SetSystemPowerState
   • DRIVEGETFILESYSTEM
   • LoadUserProfileW
   • RemoveDirectoryW
   • CreateDirectoryW
   • DuplicateHandle
   • GetStartupInfoW
   • DeviceIoControl


Texto:
Além disso contém os seguintes blocos de texto:
   • AUTOIT NO CMDEXECUTE<<<
   • TCPNAMETOIP
   • TCPSHUTDOWN

Descrição enviada por Wensin Lee em segunda-feira, 29 de abril de 2013
Descrição atualizada por Wensin Lee em segunda-feira, 29 de abril de 2013

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.