Vollständige Virenbeschreibung

Nume:	Worm/Rindu.D
Descoperit pe data de:	28/08/2007
Tip:	Vierme
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Mediu
Potential de distrugere:	Mediu spre ridicat
Fisier static:	Da
Marime:	107.008 Bytes
MD5:	85eeb3645837f31308f44f9746c9bc82
Versiune VDF:	6.39.01.79
Versiune IVDF:	6.39.01.082

General Metode de raspandire:
   • Reteaua locala
   • Discuri de retea mapate

Alias:
   • Mcafee: W32/Ridnu.d
   • Panda: W32/Ridnu.F.drp

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Inchide aplicatiile de securitate
   • Reduce setarile de securitate
   • Modificari in registri

Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\logonui.scr
   • %SYSDIR%\MyComp.scr
   • %SYSDIR%\userinit.exe
   • %SYSDIR%\sndvol32.exe
   • %SYSDIR%\calc.exe
   • %SYSDIR%\notepad.exe
   • %SYSDIR%\mspaint.exe
   • C:\MSOCache\dlcache\Lagu.scr
   • C:\MSOCache\dlcache\Gambar.scr
   • C:\MSOCache\dlcache\Film.scr
   • C:\MSOCache\dlcache\Dokumen Penting.scr
   • %PROGRAM FILES%\outlook express.scr
   • %PROGRAM FILES%\winamp.scr
   • %PROGRAM FILES%\Windows Media Player.scr
   • %PROGRAM FILES%\Windows NT\dialer.exe
   • %PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE

Creeaza urmatorul director:
   • C:\MSOCache\dlcache\

Urmatoarelor fisiere le sunt adaugate sectiuni:
– Catre: %SYSDIR%\dllcache\userinit.exe Cu urmatorul continut:
   • %fisier executat%

– Catre: %SYSDIR%\dllcache\sndvol32.exe Cu urmatorul continut:
   • %fisier executat%

– Catre: %SYSDIR%\dllcache\calc.exe Cu urmatorul continut:
   • %fisier executat%

– Catre: %SYSDIR%\dllcache\notepad.exe Cu urmatorul continut:
   • %fisier executat%

– Catre: %SYSDIR%\dllcache\mspaint.exe Cu urmatorul continut:
   • %fisier executat%

– Catre: %SYSDIR%\dllcache\iexplore.exe Cu urmatorul continut:
   • %fisier executat%

Suprascrie un fisier.
– %PROGRAM FILES%

Extensia fisierului:
   • *.exe

Cu urmatorul continut:
   • %fisier executat%

Copiaza fisierele:
    • %SYSDIR%\userinit.exe în %SYSDIR%\dllcache\userinit.exe
    • %SYSDIR%\sndvol32.exe în %SYSDIR%\dllcache\sndvol32.exe
    • %SYSDIR%\calc.exe în %SYSDIR%\dllcache\calc.exe
    • %SYSDIR%\notepad.exe în %SYSDIR%\dllcache\notepad.exe
    • %SYSDIR%\mspaint.exe în %SYSDIR%\dllcache\mspaint.exe
    • %PROGRAM FILES%\Internet Explorer\iexplore.exe în %SYSDIR%\dllcache\iexplore.exe

Este creat fisierul:

– %WINDIR%\media\suara.mp3

Registrii sistemului Urmatoarele chei din registri sunt modificate:

Diverse setari in Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Vechea valoare:
   • "RegPath"="%setarile utilizatorului%"
   Noua valoare:
   • "RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\AdvancedDeulleDo-X"

Diverse setari in Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Vechea valoare:
   • "UncheckedValue"=%setarile utilizatorului%
   Noua valoare:
   • "UncheckedValue"=dword:00000000

Diverse setari in Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\ShowFullPathAddress]
   Vechea valoare:
   • "UncheckedValue"=%setarile utilizatorului%
   Noua valoare:
   • "UncheckedValue"=dword:00000001

Diverse setari in Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Vechea valoare:
   • "UncheckedValue"=%setarile utilizatorului%
   Noua valoare:
   • "UncheckedValue"=dword:00000001

Dezactivarea programelor Regedit si Task Manager:
– [HKCU\Software\Policies\Microsoft\Windows\System]
   Vechea valoare:
   • "DisableCMD"=%setarile utilizatorului%
   Noua valoare:
   • "DisableCMD"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Vechea valoare:
   • "FullPathAddress"=%setarile utilizatorului%
   Noua valoare:
   • "FullPathAddress"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "Shell"="%setarile utilizatorului%"
   Noua valoare:
   • "Shell"="Explorer.exe, MyComp.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Vechea valoare:
   • "DisableTaskMgr"="%setarile utilizatorului%"
     "DisableRegistryTools"=%setarile utilizatorului%
   Noua valoare:
   • "DisableTaskMgr"="1"
     "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Classes\scrfile]
   Vechea valoare:
   • @=""="%setarile utilizatorului%"
     "NeverShowExt"=%setarile utilizatorului%
   Noua valoare:
   • @="File Folder"
     "NeverShowExt"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Vechea valoare:
   • "NoFolderOptions"=%setarile utilizatorului%
     "NoFind"=%setarile utilizatorului%
     "NoRun"=%setarile utilizatorului%
   Noua valoare:
   • "NoFolderOptions"=dword:00000001
     "NoFind"=dword:00000001
     "NoRun"=dword:00000001


– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Vechea valoare:
   • "ShowSuperHidden"=%setarile utilizatorului%
     "HideFileExt"=%setarile utilizatorului%
   Noua valoare:
   • "ShowSuperHidden"=dword:00000000
     "HideFileExt"=dword:00000001

Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • IPC$\
   • Data.C$\
   • Data.D$\
   • Data.E$\
   • Data.F$\
   • Data.G$\
   • Data.H$\
   • imorxr$\Lagu.scr
   • imorxr$\Gambar.scr
   • imorxr$\Film.scr
   • imorxr$\Dokumen Penting.scr

Terminarea proceselor Sunt inchise procesele care au titlul ferestri unul din urmatoarele:
   • ANTI; TROJAN; SUPPORT; MASTER; WORM; VIRUS; HACK; CRACK; LINUX; AVG;
      GRISOFT; CILLIN; SECURITY; LOCK; ASSOCIAT; SETUP; VAKSIN; UPDATE;
      TEST; XXX; HIDDEN; DEMO; SYSTEM32; AFEE; NORTON; RONTOK; PCMAV; W32;
      BLACK; MACRO; deulledo; TREND; SPERSKY; REGISTRY; COMMAND; KILL;
      NORMAN; FILM; PORNO; SVQj; PROCEXPL

Alte informatii Network Sharing:
Se creeaza urmatoarele share-uri:
   • imorxr$\
   • Data.C$\
   • Data.D$\
   • Data.E$\
   • Data.F$\
   • Data.G$\
   • Data.H$\

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Delphi.

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
• UPX

Die Beschreibung wurde erstellt von Monica Ghitun am Montag, 3. September 2007
Die Beschreibung wurde geändert von Monica Ghitun am Mittwoch, 5. September 2007

zurück . . . .

PC Schutz

Gratis-Produkte

Beliebteste Produkte

Alle Produkte

Bundle-Lösungen

Arbeitsplatzrechner

Server

Bundle-Lösungen

Mail Gateways

Web Gateways

Kollaborationsplattformen

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools