Analisado por: Ryan Gardo   
 

Generic15.YOY(AVG); Trojan.Win32.VB.vgy(Kaspersky); Artemis!E347F2E00EEC(McAfee)

 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Worm

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral


  Detalhes técnicos

Tipo de compactação: 75,261 bytes
Tipo de arquivo: EXE
Residente na memória: Sim
Data de recebimento das amostras iniciais: 13 março 2015

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %System Root%\ayu ashari bugil.jpg

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
gpmce = \Kumpulan Sofware-sofware terbaru.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
gpmce = \Master Game Strategy.exe

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}
LocalizedString = "@%SystemRoot%\system32\SHELL32.dll,-8964"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{645FF040-5081-101B-9F08-00AA002F954E}
LocalizedString = "@%SystemRoot%\system32\shell32.dll,-9216"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\DefaultIcon
(Default) = "%SystemRoot%\System32\shell32.dll,31"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon
(Default) = "%SystemRoot%\Explorer.exe,0"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon
full = "%SystemRoot%\Explorer.exe,0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
search page = www.tube8.com

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
start page = "www.gpmce.net"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = "1" (For OS Version XP and below)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
DisableThumbnailCache = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableTaskMgr = "1" (For OS Version XP and below)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableRegistryTools = "1" (For OS Version XP and below)

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows\System
disableCMD = "2" (For OS Version XP and below)

Verbreitung

Sucht nach Ordnern in allen Festplatten- und Wechsellaufwerken, um dort Kopien von sich selbst innerhalb des Ordner als {Ordnername}.EXE.

  Solução

Mecanismo de varredura mínima: 9.750
Primeiro arquivo padrão VSAPI: 11.536.02
Data do lançamento do primeiro padrão VSAPI: 13 março 2015
VSAPI OPR Pattern Version: 11.537.00
VSAPI OPR Pattern veröffentlicht am: 14 março 2015

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

Im abgesicherten Modus neu starten

[ Saber mais ]

Step 7

Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als WORM_COPYKAT.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


Participe da nossa pesquisa!