Laboratório de vírus Avira

Worm/Sohanat.BP.4

  • Nome
    Worm/Sohanat.BP.4
  • Data em que surgiu
    06/10/2015
  • Tipo
    Malware
  • Impacto
    Alto 
  • Infecções relatadas
    Baixo 
  • Sistema operacional
    Windows
  • Versão do VDF
    7.00.07.69 (2008-10-21 12:27)

O termo 'WORM' refere-se a um worm que pode se difundido, por exemplo, pela Internet (usando e-mails, redes ponto a ponto, redes IRC etc.).

  • VDF
    7.00.07.69 (2008-10-21 12:27)
  • Alias
    Avast: AutoIt:Lisisor-A
    AVG: Worm/Generic.BCMF
    ClamAV: Worm.Autorun-1782
    Dr. Web: Win32.HLLW.Autoruner1.54163
    F-PROT: W32/Trojan3.XB (exact)
    McAfee: W32/YahLover.worm.gen
    Trend Micro: WORM_SOHANAD.CA
    Microsoft: Worm:Win32/Nuqel.AR
    G Data: Trojan.Autoit.ATL
    Kaspersky Lab: Worm.Win32.AutoIt.dn
    Bitdefender: Trojan.Autoit.ATL
    ESET: Win32/Autoit.EB worm
  • Arquivos
    As seguintes cópias foram criadas:
    • %SYSDIR%\chrome.exe
    • %WINDIR%\chrome.exe
    Os seguintes arquivos foram criados:
    • %WINDIR%\Tasks\At1.job
    • %SYSDIR%\autorun.ini
    • %DISKDRIVE%\System Volume Information\tracking.log.tmp
    Os seguintes arquivos foram alterados:
    • %temporary internet files%\Content.IE5\index.dat
    • %USERPROFILE%\Cookies\index.dat
    • %USERPROFILE%\Local Settings\History\History.IE5\index.dat
    Os seguintes arquivos foram excluídos:
    • %DISKDRIVE%\System Volume Information\MountPointManagerRemoteDatabase
    • %DISKDRIVE%\System Volume Information\tracking.log
    • %DISKDRIVE%\System Volume Information
    Os seguintes arquivos foram renomeados:
    • %DISKDRIVE%\System Volume Information\tracking.log.tmp
  • Registro
    São adicionadas as seguintes entidades de registro:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ("Yahoo Messengger": "%SYSDIR%\chrome.exe")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ("NofolderOptions": dword:00000001)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ("DisableTaskMgr": dword:00000001; "DisableRegistryTools": dword:00000001)
    • HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings ("ProxyEnable": dword:00000000)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares ("shared": "\New Folder.exe")
  • Pedidos HTTP
    • h1.*****y.com/sdb0/setting.ini
    • h1.*****y.com/sdb1/setting.ini
    • h1.*****y.com/sdb2/setting.ini
    • h1.*****y.com/sdb3/setting.ini
    • h1.*****y.com/sdb4/setting.ini
    • h1.*****y.com/sdb5/setting.ini
    • h1.*****y.com/sdb6/setting.ini
    • h1.*****y.com/sdb7/setting.ini
    • h1.*****y.com/sdb8/setting.ini
    • h1.*****y.com/sdb9/setting.ini

Ajude a tornar a rede mais segura enviando-nos arquivos/URLs suspeitos para análise.

Envie o seu arquivo/URL Ou Acesse o Avira Answers

Porque enviar um arquivo suspeito?

Se você encontrou um arquivo ou um website suspeito que não está na nossa base de dados, nós analisaremos e determinaremos se ele é nocivo. As nossas descobertas são, então, enviadas aos nossos milhões de usuários através da próxima atualização da base de dados de vírus. Se você possui o Avira, você obterá essa atualização também. Não possui o Avira? Obtenha-o através do nossa página inicial.

O que é o Avira Answers?

Esta é a nossa próspera comunidade de profissionais técnicos e especialistas a meio período, trabalhando em conjunto para ajudar a resolver os problemas da tecnologia. É o lugar perfeito onde fazer as suas perguntas, em uma comunidade de colegas usuários do Avira.