//start foreach
English
//start foreach
Deutsch
//start foreach
Français
//start foreach
Español
//start foreach
Italiano
//start foreach
Русский
//start foreach
日本語
//start foreach
Português
//start foreach
简体中文
Página inicial
Informações sobre vírus
DR/Sohanad.BM.157
Pesquisar
Página inicial
Suporte
Soluções
Produtos
Downloads
Informações sobre vírus
Estatísticas
Mapa mundial de phishing
Histórico do VDF
Ciência dos vírus
Enviar amostra
Notícias sobre segurança
Vírus da In the Wild
Empresa
Imprensa
Parceiros
Boletim informativo
TechBlog
DR/Sohanad.BM.157 - Dropper
Ver também
Sumário
Descrição completa
Estatísticas
Como você avaliaria esta informação?
Sem importância
Excelente
Vírus
DR/Sohanad.BM.157
Data em que surgiu:
30/09/2009
Tipo:
Trojan
Incluído na lista "In The Wild"
Sim
Nível de danos:
De baixo a médio
Nível de distribuição:
De baixo a médio
Nível de risco:
De baixo a médio
Ficheiro estático:
Sim
Tamanho:
529.920 Bytes
MD5 checksum:
ec80ba08fe2710d8ab5ad280f1b37137
Versão IVDF:
7.01.06.59
Vulgarmente
Alias:
• Mcafee: W32/YahLover.worm
• Sophos: W32/SillyFDC-G
• Panda: W32/Hakaglan.A.worm
• Eset: Win32/Hakaglan.AH
• Bitdefender: Trojan.AutoIt.TD
Sistemas Operativos:
• Windows 2000
• Windows XP
• Windows 2003
Efeitos secundários:
• Descarrega ficheiros maliciosos
• Descarrega ficheiros maliciosos
• Baixa as definições de segurança
• Altera o registo do Windows
Ficheiros
Autocopia-se para as seguintes localizações
•
%WINDIR%
\RVHOST.exe
•
%SYSDIR%
\RVHOST.exe
É criado o seguinte ficheiro:
–
%WINDIR%
\Tasks\At1.job
Tenta efectuar o download de alguns ficheiros:
– A partir da seguinte localização:
• http://nhatquanglan2.0catch.com/**********
Ainda em fase de pesquisa.
– A partir da seguinte localização:
• http://www.freewebs.com/nhattruongquang/**********
Ainda em fase de pesquisa.
– A partir da seguinte localização:
• http://nhatquanglan2.0catch.com/**********
Ainda em fase de pesquisa.
– A partir da seguinte localização:
• http://www.freewebs.com/nhattruongquang/**********
Ainda em fase de pesquisa.
Registry (Registo do Windows)
Um dos seguintes valores é adicionado para executar o processo depois reinicializar:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "Yahoo Messengger"="
%SYSDIR%
\RVHOST.exe"
É adicionada a seguinte chave de registo:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
• "DisableRegistryTools"=dword:0x00000001
• "DisableTaskMgr"=dword:0x00000001
Altera as seguintes chaves de registo do Windows:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Valor recente:
• "Shell"="Explorer.exe RVHOST.exe"
– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
Valor recente:
• "AtTaskMaxHours"=dword:0x00000000
• "NextAtJobId"=dword:0x00000003
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Valor recente:
• "NofolderOptions"=dword:0x00000001
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
Valor recente:
• "GlobalUserOffline"=dword:0x00000000
Terminar o processo
O seguinte processo é terminado:
• taskmgr.exe
Detalhes do ficheiro
Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.
Veja
aqui
uma breve descrição.
Descrição adicionada por Petre Galan em Fri, 05 Feb 2010 12:30 (GMT+1)
Descrição adicionada por Petre Galan em Fri, 05 Feb 2010 12:34 (GMT+1)
»
Sobre malware
»
Sobre phishing
»
Vírus da In the Wild
« voltar
Imprimir esta página
HEUR/HTML.Malware
TR/Crypt.XPACK.Gen3
TR/Crypt.XPACK.Gen2
W32/Sality.Y
Java/Agent.M.1
TR/Renos.E
Worm/Palevo.aemi
Worm/Palevo.akyt
Worm/Palevo.zed
TR/Kryptik.FU
Obtenha as informações mais recentes da Avira por
Detecta e remove malwares diferentes e suas variantes.
Clique aqui para baixar
Clique
aqui
para obter o painel...
© 2010 Avira GmbH
Copyright
|
Privacidade
|
Mapa do site
|
Comentários
|
Imprimir
|
FAQ
|
Contato
Informações sobre vírus DR/Sohanad.BM.157
Imprimir esta página
.gif)
