Laboratório de vírus Avira

TR/Agent.3289600.4

  • Nome
    TR/Agent.3289600.4
  • Data em que surgiu
    06/10/2015
  • Tipo
    Malware
  • Impacto
    Médio 
  • Infecções relatadas
    Baixo 
  • Sistema operacional
    Windows
  • Versão do VDF
    7.11.235.176 (2015-05-28 14:35)

O termo 'TR' refere-se a um Cavalo de Troia que pode espionar dados, violar sua privacidade ou realizar modificações indesejadas no sistema.

  • VDF
    7.11.235.176 (2015-05-28 14:35)
  • Alias
    Avast: Win32:Malware-gen
    Dr. Web: Trojan.Siggen6.37720
    G Data: Gen:Variant.Kazy.620731
    Kaspersky Lab: Trojan.Win32.Diztakun.auj
    Bitdefender: Gen:Variant.Kazy.620731
  • Arquivos
    Os seguintes arquivos foram alterados:
    • %USERPROFILE%\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
  • Injeções
    • %SYSDIR%\cmd.exe
    • %SYSDIR%\ipconfig.exe
    • %DISKDRIVE%\hips\loader.exe
    • %WINDIR%\System32\svchost.exe
    • %FILE_PATH%
    • {<-%FILE_PATH%}
    • \SystemRoot\System32\smss.exe{<-%FILE_PATH%}
    • \??\%SYSDIR%\csrss.exe{<-%FILE_PATH%}
    • \??\%SYSDIR%\winlogon.exe{<-%FILE_PATH%}
    • %SYSDIR%\services.exe{<-%FILE_PATH%}
    • %SYSDIR%\lsass.exe{<-%FILE_PATH%}
    • %PROGRAM FILES%\VMware\VMware Tools\vmacthlp.exe{<-%FILE_PATH%}
    • %SYSDIR%\svchost.exe{<-%FILE_PATH%}
    • %WINDIR%\System32\svchost.exe{<-%FILE_PATH%}
    • %WINDIR%\Explorer.EXE{<-%FILE_PATH%}
    • %SYSDIR%\spoolsv.exe{<-%FILE_PATH%}
    • %PROGRAM FILES%\FileZilla Server\FileZilla Server Interface.exe{<-%FILE_PATH%}
    • %PROGRAM FILES%\VMware\VMware Tools\VMwareTray.exe{<-%FILE_PATH%}
    • %PROGRAM FILES%\VMware\VMware Tools\vmtoolsd.exe{<-%FILE_PATH%}
    • %WINDIR%\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe{<-%FILE_PATH%}
    • %PROGRAM FILES%\FileZilla Server\FileZilla Server.exe{<-%FILE_PATH%}
    • %WINDIR%\System32\alg.exe{<-%FILE_PATH%}
    • %SYSDIR%\wscntfy.exe{<-%FILE_PATH%}
    • %SYSDIR%\cmd.exe{<-%FILE_PATH%}
    • %DISKDRIVE%\totalcmd\TOTALCMD.EXE{<-%FILE_PATH%}
    • %SYSDIR%\msiexec.exe{<-%FILE_PATH%}
    • %PROGRAM FILES%\Java\jre6\bin\jqs.exe{<-%FILE_PATH%}
    • %SYSDIR%\wbem\wmiprvse.exe{<-%FILE_PATH%}
    • %PROGRAM FILES%\WinPcap\rpcapd.exe{<-%FILE_PATH%}
    • %DISKDRIVE%\hips\vhsnz.exe{<-%FILE_PATH%}
    • %SYSDIR%\ipconfig.exe{<-%FILE_PATH%}
    • %DISKDRIVE%\hips\loader.exe{<-%FILE_PATH%}
  • Registro
    São adicionadas as seguintes entidades de registro:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ("CMS Client": "%USERPROFILE%\Start Menu\Programs\MSD Technology Sdn Bhd\CMS\CMS Client.appref-ms")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ("DisableRegistryTools": dword:00000000; "DisableTaskMgr": dword:00000001; "DisableChangePassword": dword:00000001; "DisableLockWorkstation": dword:00000001; "HideFastUserSwitching": dword:00000001)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ("NoClose": dword:00000001; "NoLogOff": dword:00000001)

Ajude a tornar a rede mais segura enviando-nos arquivos/URLs suspeitos para análise.

Envie o seu arquivo/URL Ou Acesse o Avira Answers

Porque enviar um arquivo suspeito?

Se você encontrou um arquivo ou um website suspeito que não está na nossa base de dados, nós analisaremos e determinaremos se ele é nocivo. As nossas descobertas são, então, enviadas aos nossos milhões de usuários através da próxima atualização da base de dados de vírus. Se você possui o Avira, você obterá essa atualização também. Não possui o Avira? Obtenha-o através do nossa página inicial.

O que é o Avira Answers?

Esta é a nossa próspera comunidade de profissionais técnicos e especialistas a meio período, trabalhando em conjunto para ajudar a resolver os problemas da tecnologia. É o lugar perfeito onde fazer as suas perguntas, em uma comunidade de colegas usuários do Avira.