Laboratório de vírus Avira

TR/Autoit.QX

  • Nome
    TR/Autoit.QX
  • Data em que surgiu
    20/04/2018
  • Tipo
    Malware
  • Impacto
    Médio 
  • Infecções relatadas
    Baixo 
  • Sistema operacional
    Windows
  • Versão do VDF
    7.14.53.162 (2018-04-20 16:05)

O termo 'TR' refere-se a um Cavalo de Troia que pode espionar dados, violar sua privacidade ou realizar modificações indesejadas no sistema.

  • VDF
    7.14.53.162 (2018-04-20 16:05)
  • Atividade em rede
    • 913531792.r.s-cdn.net/*****.php?aHR0cDovLzkxMzUzMTc5Mi5yLnMtY2RuLm5ldC92MnxDTFV3
    • navigationshilfe1.t-o*****.de/dnserror?url=913531792.r.s-cdn.net/
  • Processos
    • %SYSDIR%\WindowsPowerShell\v1.0\powershell.exe
    • powershell.exe
    • %executed_sample_name%.exe
  • Arquivos
    Os seguintes arquivos foram excluídos:
    • %APPDATA%\Local\Microsoft\Windows\Caches\{AFBF9F1A-8EE8-4C77-AF34-C647E37CA0D9}.1.ver0x0000000000000000.db
    Os seguintes drivers estão carregados:
    • %WINDIR%\SysWOW64\ieframe.dll
    • %WINDIR%\winsxs\FileMaps\$$_system32_windowspowershell_v1.0_3f102d555ee05d33.cdf-ms
    • %TEMPDIR%\%executed_sample%
    • %WINDIR%\Globalization\Sorting\sortdefault.nls
    • %APPDATA%\Local\Microsoft\Windows\Caches\cversions.1.db
    • %USERPATH%\Desktop\desktop.ini
    • %SYSDIR%\WindowsPowerShell\v1.0\powershell.exe
    Os seguintes arquivos são executados:
    • %WINDIR%\SysWOW64\ieframe.dll
    • %WINDIR%\winsxs\FileMaps\$$_system32_windowspowershell_v1.0_3f102d555ee05d33.cdf-ms
    • %TEMPDIR%\%executed_sample%
    • %WINDIR%\Globalization\Sorting\sortdefault.nls
    • %APPDATA%\Local\Microsoft\Windows\Caches\cversions.1.db
    • %USERPATH%\Desktop\desktop.ini
    • %SYSDIR%\WindowsPowerShell\v1.0\powershell.exe
  • Registro
    São adicionadas as seguintes entidades de registro:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap ("ProxyBypass": "") ("IntranetName": "") ("UNCAsIntranet": "0x00000000") ("AutoDetect": "0x01000000")
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap ("ProxyBypass": "") ("IntranetName": "")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ ("UNCAsIntranet": "0")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ ("AutoDetect": "1")
    Altera as seguintes entidades de registo:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap ("ProxyBypass": "") ("IntranetName": "") ("UNCAsIntranet": "0x00000000") ("AutoDetect": "0x01000000")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ ("UNCAsIntranet": "0")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ ("AutoDetect": "1")
    Os valores das seguintes chaves registo são removidos:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap ("ProxyBypass": "") ("IntranetName": "") ("UNCAsIntranet": "0x00000000") ("AutoDetect": "0x01000000")
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap ("ProxyBypass": "") ("IntranetName": "")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ ("ProxyBypass": "")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ ("IntranetName": "")
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ ("ProxyBypass": "")
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ ("IntranetName": "")
  • Alias
    ESET: Win32/TrojanDownloader.Autoit.OGS trojan
    G Data: AIT:Trojan.Autoit.DIJ

Ajude a tornar a rede mais segura enviando-nos arquivos/URLs suspeitos para análise.

Envie o seu arquivo/URL Ou Acesse o Avira Answers

Porque enviar um arquivo suspeito?

Se você encontrou um arquivo ou um website suspeito que não está na nossa base de dados, nós analisaremos e determinaremos se ele é nocivo. As nossas descobertas são, então, enviadas aos nossos milhões de usuários através da próxima atualização da base de dados de vírus. Se você possui o Avira, você obterá essa atualização também. Não possui o Avira? Obtenha-o através do nossa página inicial.

O que é o Avira Answers?

Esta é a nossa próspera comunidade de profissionais técnicos e especialistas a meio período, trabalhando em conjunto para ajudar a resolver os problemas da tecnologia. É o lugar perfeito onde fazer as suas perguntas, em uma comunidade de colegas usuários do Avira.