Laboratório de vírus Avira

DDOS/Nitol.A.215

  • Nome
    DDOS/Nitol.A.215
  • Data em que surgiu
    26/10/2015
  • Tipo
    Malware
  • Impacto
    Médio 
  • Infecções relatadas
    Baixo 
  • Sistema operacional
    Windows
  • Versão do VDF
    7.11.51.190 (2012-11-28 09:07)

O termo 'DDOS' refere-se a um programa que pode executar ataques distribuídos de negação de serviço, por exemplo, em alguns sites da Internet.

  • VDF
    7.11.51.190 (2012-11-28 09:07)
  • Alias
    Avast: Win32:ServStart-C
    AVG: Generic18.MDX
    ClamAV: Trojan.MicroFake-1
    Dr. Web: Trojan.DownLoader13.1900
    F-PROT: W32/MalwareF.YMPW (exact)
    Trend Micro: WORM_MICROFAKE.U
    Microsoft: DDoS:Win32/Nitol
    G Data: Trojan.Microfake.D
    Kaspersky Lab: Trojan.Win32.MicroFake.ba
    Bitdefender: Trojan.Microfake.D
    ESET: Win32/Agent.RNS trojan
  • Arquivos
    Os seguintes arquivos foram criados:
    • %SYSDIR%\emuimo.exe
    • %SYSDIR%\hra33.dll
    Os seguintes arquivos foram renomeados:
    • %TEMPDIR%\hrl4E.tmp
    • %DISKDRIVE%\RCX4F.tmp
    Os seguintes arquivos foram excluídos:
    • %SYSDIR%\hra33.dll
    As seguintes cópias foram criadas:
    • %DISKDRIVE%\RCX4F.tmp
    • %APPDATA%\Sun\Java\jre1.7.0_51\lpk.dll
    • %TEMPDIR%\Microsoft .NET Framework 4 Setup_4.0.30319\lpk.dll
    • %TEMPDIR%\lpk.dll
    • %TEMPDIR%\{62198C42-974B-4F90-9AD2-12763AB58C97}~setup\lpk.dll
    • %temporary internet files%\Content.IE5\5KMEPSXE\lpk.dll
    • %temporary internet files%\Content.IE5\LV2JIAKP\lpk.dll
    • %temporary internet files%\Content.IE5\QH9ZEEV0\lpk.dll
    • %DISKDRIVE%\hips\lpk.dll
    • %DISKDRIVE%\incoming\lpk.dll
    • %DISKDRIVE%\lpk.dll
    • %PROGRAM FILES%\Common Files\Java\Java Update\lpk.dll
    • %PROGRAM FILES%\Common Files\Microsoft Shared\DW\lpk.dll
    • %PROGRAM FILES%\Common Files\Microsoft Shared\MSInfo\lpk.dll
    • %PROGRAM FILES%\Common Files\Microsoft Shared\Speech\lpk.dll
    • %PROGRAM FILES%\FileZilla Server\lpk.dll
    • %PROGRAM FILES%\Internet Explorer\Connection Wizard\lpk.dll
    • %PROGRAM FILES%\Internet Explorer\lpk.dll
    • %PROGRAM FILES%\Java\jre7\bin\lpk.dll
    • %PROGRAM FILES%\Messenger\lpk.dll
    • %PROGRAM FILES%\Movie Maker\lpk.dll
    • %PROGRAM FILES%\Mozilla Firefox\lpk.dll
    • %PROGRAM FILES%\Mozilla Firefox\uninstall\lpk.dll
    • %PROGRAM FILES%\MSN\MSNCoreFiles\Install\MSN9Components\lpk.dll
    • %PROGRAM FILES%\MSN\MSNCoreFiles\Install\lpk.dll
    • %PROGRAM FILES%\MSN Gaming Zone\Windows\lpk.dll
    • %PROGRAM FILES%\NetMeeting\lpk.dll
    • %PROGRAM FILES%\Outlook Express\lpk.dll
  • Injeções
    • %SYSDIR%\svchost.exe
  • Registro
    São adicionadas as seguintes entidades de registro:
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Distribumkq ("Type": dword:00000010; "Start": dword:00000002; "ErrorControl": dword:00000000; "ImagePath": "%SYSDIR%\emuimo.exe"; "DisplayName": "Distribuqre Transaction Coordinator Service"; "ObjectName": "LocalSystem")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Distribumkq\Security ("Security": %hex values%)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DISTRIBUMKQ ("NextInstance": dword:00000001)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DISTRIBUMKQ\0000 ("Service": "Distribumkq"; "Legacy": dword:00000001; "ConfigFlags": dword:00000000; "Class": "LegacyDriver"; "ClassGUID": "{8ECC055D-047F-11D1-A537-0000F8753ED1}"; "DeviceDesc": "Distribuqre Transaction Coordinator Service")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DISTRIBUMKQ\0000\Control ("*NewlyCreated*": dword:00000000; "ActiveService": "Distribumkq")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Distribumkq\Enum ("0": "Root\LEGACY_DISTRIBUMKQ\0000"; "Count": dword:00000001; "NextInstance": dword:00000001)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent (@: dword:00000011)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Distribumkq ("Description": "Distribuoxs Transaction Coordinator Service.")

Ajude a tornar a rede mais segura enviando-nos arquivos/URLs suspeitos para análise.

Envie o seu arquivo/URL Ou Acesse o Avira Answers

Porque enviar um arquivo suspeito?

Se você encontrou um arquivo ou um website suspeito que não está na nossa base de dados, nós analisaremos e determinaremos se ele é nocivo. As nossas descobertas são, então, enviadas aos nossos milhões de usuários através da próxima atualização da base de dados de vírus. Se você possui o Avira, você obterá essa atualização também. Não possui o Avira? Obtenha-o através do nossa página inicial.

O que é o Avira Answers?

Esta é a nossa próspera comunidade de profissionais técnicos e especialistas a meio período, trabalhando em conjunto para ajudar a resolver os problemas da tecnologia. É o lugar perfeito onde fazer as suas perguntas, em uma comunidade de colegas usuários do Avira.