Páginas

6 de dezembro de 2007

W32/Heiku

RISCOS ASSEGURADOS

Usuarios da casa: Low

Usuarios incorporados: Low

Data da descoberta: 30/11/2007

Data da adição: 30/11/2007

Origem: N/A

Tamanho: 39424 bytes

Tipo: Virus

SubTipo: Win32

vacina requerida: 5175


CARACTERÍSTICAS

Este verme vai modificar a página inicial do Internet Explorer e mudar o título da janela. Irá também alterar algumas configurações de sistema de registro chaves para impedir usuários de inverter a sua evolução. O verme vai esconder pastas e mascarada duplicatas de si mesmo como pastas.


Irá apagar a seguinte chave de registro:


  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\DefaultIcon\: "%SystemRoot%\System32\shell32.dll,3"

As seguintes chaves de registro são adicionados:


  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\DefaultIcon\: "%SYSDIR%\filesrv32.exe"

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\IeakHelpString: "I will always be with you, Huelar!"

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFolderOptions: 0x00000001

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft File Server Manager 2.36: "%SYSDIR%\filesrv32.exe"

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Heiku - Munist: "%SYSDIR%\EraleuH.exe"

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\EnableHeikus: "1"

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\InstallDate: "11/1/2007"

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title: "Freak-X Browser"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools: 0x00000001

Modifica as seguintes chaves de registro:



O verme duplica - se como os seguintes arquivos:

  • %DOCUMENTSETTINGS%\All Users\Documents\Admin Files.exe
  • %DOCUMENTSETTINGS%\All Users\Documents\MP3 Files.exe
  • %DOCUMENTSETTINGS%\All Users\Documents\My Media Files.exe \
  • %DOCUMENTSETTINGS%\All Users\Templates\Excel templates.exe
  • %DOCUMENTSETTINGS%\All Users\Templates\PowerPoint temlates.exe
  • %DOCUMENTSETTINGS%\username\Desktop\User.exe
  • %SYSDIR%\Aquarium 200.scr
  • %SYSDIR%\EraleuH.exe
  • %SYSDIR%\filesrv32.exe
  • %ROOTDIR%:\.exe
Acrescenta a esses arquivos:
  • %DOCUMENTSETTINGS%\username\Favorites\Links\Free Porn Anime.url
  • %DOCUMENTSETTINGS%\username\Favorites\Links\Mouth Fuck'in Action.url
  • %DOCUMENTSETTINGS%\username\Favorites\Links\My Sex Videos.url
  • %DOCUMENTSETTINGS%\username\Favorites\Links\Online Sex Videos.url
  • %DOCUMENTSETTINGS%\username\Favorites\Links\Philippine Underground.url
  • %WINDIR%\huelar.txt
Acrescenta as pastas:
  • %DOCUMENTSETTINGS%\username\Desktop\User

O verme também irá tentar espalhar através de um disco flexível se disponível por copiando - se a:
  • A:\Saved Documents.exe
  • A:\My Videos.exe
  • A:\My Music.exe
  • A:\Important Documents.exe
  • A:\Gerger_files.exe
  • A:\drvspace.com
(where %SYSDIR% is Windows system32 directory e.g. C:\Windows\system32
%WINDDIR% is Windows directory e.g. C:\Windows
%DOCUMENTSETTINGS% is Windows Documents and Settings directory e.g. C:\Documents and Settings
%ROOTDIR% is Windows root directory e.g. C:\)

INDICAÇÃO DE INFECÇÃO:
Presença dos arquivos anteriormente mencionados.
Mudança inesperada para Internet Explorer página inicial.

MÉTODO DE INFECÇÃO:
Ele tenta espalhar através de um disquete.

INSTRUÇÕES:
AVERT recomenda a utilização sempre mais recentes DATs e motor. Esta ameaça serão limpos, se tiver essa combinação.

Additional Windows ME / XP remoção considerações

ALIADOS:
W32.Heular (Symantec)

fonte: Mcaffe software anti-vírus e seguranças na internet para seu pc.
Publicada por em
Etiquetas:

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)