Laboratório de vírus Avira

TR/Crypt.EPACK.19654

  • Nome
    TR/Crypt.EPACK.19654
  • Data em que surgiu
    18/12/2015
  • Tipo
    Malware
  • Impacto
    Médio 
  • Infecções relatadas
    Baixo 
  • Sistema operacional
    Windows
  • Versão do VDF
    7.11.97.194 (2013-08-22 09:05)

O termo 'TR' refere-se a um cavalo de Troia que pode espionar dados para violar sua privacidade ou realizar modificações indesejadas no sistema.

  • VDF
    7.11.97.194 (2013-08-22 09:05)
  • Alias
    Avast: Win32:Malware-gen
    AVG: Crypt5.SDO
    Dr. Web: Trojan.Click3.12222
    Microsoft: Trojan:Win32/Necurs
    G Data: Gen:Variant.Kazy.780457
    Kaspersky Lab: Trojan-Dropper.Win32.Necurs.zoq
    Bitdefender: Gen:Variant.Kazy.780457
    ESET: Win32/Kryptik.EHTN trojan
  • Arquivos
    Os seguintes arquivos foram alterados:
    • %SYSDIR%\wbem\Logs\wbemcore.log
    • %WINDIR%\Prefetch\WMIPRVSE.EXE-28F301A9.pf
    • %temporary internet files%\Content.IE5\index.dat
    • %USERPROFILE%\Cookies\index.dat
    • %USERPROFILE%\Local Settings\History\History.IE5\index.dat
    • %WINDIR%\Prefetch\SVCHOST.EXE-3530F672.pf
    • %WINDIR%\Prefetch\CMD.EXE-087B4001.pf
    Os seguintes arquivos foram criados:
    • %WINDIR%\Temp\2235718.bat
    • %WINDIR%\Temp\Perflib_Perfdata_71c.dat
  • Registro
    São adicionadas as seguintes entidades de registro:
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\syshost32 ("Type": dword:00000010; "Start": dword:00000002; "ErrorControl": dword:00000000; "ImagePath": ""%WINDIR%\Installer\{B4D38090-B607-693E-E6DC-A5B5C6C09926}\syshost.exe" /service"; "ObjectName": "LocalSystem")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\syshost32\Security ("Security": %hex values%)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSHOST32 ("NextInstance": dword:00000001)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSHOST32\0000 ("Service": "syshost32"; "Legacy": dword:00000001; "ConfigFlags": dword:00000000; "Class": "LegacyDriver"; "ClassGUID": "{8ECC055D-047F-11D1-A537-0000F8753ED1}"; "DeviceDesc": "syshost32")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSHOST32\0000\Control ("*NewlyCreated*": dword:00000000; "ActiveService": "syshost32")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\syshost32\Enum ("0": "Root\LEGACY_SYSHOST32\0000"; "Count": dword:00000001; "NextInstance": dword:00000001)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent (@: dword:00000011)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\eappcfg ("LogSessionName": "stdout"; "Active": dword:00000001; "ControlFlags": dword:00000001)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\eappcfg\traceIdentifier ("Guid": "5f31090b-d990-4e91-b16d-46121d0255aa"; "BitNames": " Error Unusual Info Debug")
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\eappprxy ("LogSessionName": "stdout"; "Active": dword:00000001; "ControlFlags": dword:00000001)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\eappprxy\traceIdentifier ("Guid": "5f31090b-d990-4e91-b16d-46121d0255aa"; "BitNames": " Error Unusual Info Debug")
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\QUtil ("LogSessionName": "stdout"; "Active": dword:00000001; "ControlFlags": dword:00000001)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\QUtil\traceIdentifier ("Guid": "8aefce96-4618-42ff-a057-3536aa78233e"; "BitNames": " Error Unusual Info Debug")
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\NAP\Netsh ("LogSessionName": "stdout"; "Active": dword:00000001; "ControlFlags": dword:00000001)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\NAP\Netsh\Napmontr ("Guid": "710adbf0-ce88-40b4-a50d-231ada6593f0"; "BitNames": " NAP_TRACE_BASE NAP_TRACE_NETSH")
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\qagent ("LogSessionName": "stdout"; "Active": dword:00000001; "ControlFlags": dword:00000001)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\qagent\traceIdentifier ("Guid": "b0278a28-76f1-4e15-b1df-14b209a12613"; "BitNames": " Error Unusual Info Debug")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile ("EnableFirewall": dword:00000000; "DoNotAllowExceptions": dword:00000000)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch ("Epoch": dword:00000017)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile ("EnableFirewall": dword:00000000; "DoNotAllowExceptions": dword:00000000)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\21dade ("Type": dword:00000001; "Start": dword:00000001; "ErrorControl": dword:00000000; "ImagePath": "\??\%SYSDIR%\drivers\21dade.sys"; "DisplayName": "syshost.exe")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\21dade\Security ("Security": %hex values%)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_21DADE ("NextInstance": dword:00000001)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_21DADE\0000 ("Service": "21dade"; "Legacy": dword:00000001; "ConfigFlags": dword:00000000; "Class": "LegacyDriver"; "ClassGUID": "{8ECC055D-047F-11D1-A537-0000F8753ED1}"; "DeviceDesc": "syshost.exe")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_21DADE\0000\Control ("*NewlyCreated*": dword:00000000)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\21dade\Enum ("0": "Root\LEGACY_21DADE\0000"; "Count": dword:00000001; "NextInstance": dword:00000001)
    • HKEY_CURRENT_USER\Software\WinRAR ("HWID": %hex values%; "Client Hash": %hex values%)
    • HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003EA ("F": %hex values%)
    • HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003E8 ("F": %hex values%)
    • HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5 ("F": %hex values%)
    • HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003EC ("F": %hex values%)
    • HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4 ("F": %hex values%)
    • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\A ("BaseClass": "Drive")
    • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C ("BaseClass": "Drive")
    • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D ("BaseClass": "Drive")
    Altera as seguintes entidades de registo:
    • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap ("UNCAsIntranet": dword:00000001)
  • Pedidos HTTP
    • 195.*****.28.194/forum/db.php
    • sso.*****.com/domain/195.22.28.194
    • 185.*****.187.223/forum/db.php
    • js.*****lany.com.ve/script

Ajude a tornar a rede mais segura enviando-nos arquivos/URLs suspeitos para análise.

Envie o seu arquivo/URL Ou Acesse o Avira Answers

Porque enviar um arquivo suspeito?

Se você encontrou um arquivo ou um website suspeito que não está na nossa base de dados, nós analisaremos e determinaremos se ele é nocivo. As nossas descobertas são, então, enviadas aos nossos milhões de usuários através da próxima atualização da base de dados de vírus. Se você possui o Avira, você obterá essa atualização também. Não possui o Avira? Obtenha-o através do nossa página inicial.

O que é o Avira Answers?

Esta é a nossa próspera comunidade de profissionais técnicos e especialistas a meio período, trabalhando em conjunto para ajudar a resolver os problemas da tecnologia. É o lugar perfeito onde fazer as suas perguntas, em uma comunidade de colegas usuários do Avira.