Nume:Worm/Traxgy.B
Descoperit pe data de:30/08/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Scazut spre mediu
Fisier static:Nu
Marime:57.344 Bytes
Versiune IVDF:6.31.01.196 - Dienstag, 30. August 2005

 General Metode de raspandire:
   • Email
   • Reteaua locala
   • Discuri de retea mapate


Alias:
   •  Kaspersky: Email-Worm.Win32.Rays
   •  F-Secure: Email-Worm.Win32.Rays
   •  Sophos: W32/Traxg-B
   •  Panda: W32/Vinet.A.worm
   •  Grisoft: I-Worm/Rays.E
   •  Bitdefender: Win32.Rays.H@mm


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • A:\Explorer.EXE
   • A:\WINDOWS.EXE
   • %unitate disc%:\WINDOWS.EXE
   • %unitate disc%:\ghost.bat
   • %toate directoarele%\%numele directorului curent%.exe



Scrie pe disc o copie a lui alegand numele fisierului dintr-o lista:
– Catre: %WINDIR%\\system\ Folosind unul din urmatoarele nume:
   • %numar hexazecimal%.com

– Catre: %WINDIR%\fonts\ Folosind unul din urmatoarele nume:
   • %numar hexazecimal%.com

– Catre: %WINDIR%\\temp\ Folosind unul din urmatoarele nume:
   • %numar hexazecimal%.com

– Catre: %WINDIR%\help\ Folosind unul din urmatoarele nume:
   • \%numar hexazecimal%.com




Sunt create fisierele:

– Fisier inofensiv:
   • %toate directoarele%\desktop.ini

– A:\NetHood.htm Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: VBS/Zapchast.B

%unitate disc%:\NetHood.htm Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: VBS/Zapchast.B

%toate directoarele%\folder.htt Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: VBS/Zapchast.B

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • TempCom = %WINDIR%\\system\%numar hexazecimal%.com
   • TempCom = %WINDIR%\fonts\%numar hexazecimal%.com
   • TempCom = %WINDIR%\\temp\%numar hexazecimal%.com
   • TempCom = %WINDIR%\help\%numar hexazecimal%.com



Valoarea urmatoarei chei este stearsa din registri:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • KaV300XP



Urmatoarele chei din registri sunt modificate:

Diverse setari in Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Vechea valoare:
   • fullpath = %setarile utilizatorului%
   Noua valoare:
   • fullpath = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Vechea valoare:
   • HideFileExt = %setarile utilizatorului%
   • Hidden = %setarile utilizatorului%
   Noua valoare:
   • HideFileExt = dword:00000001
   • Hidden = dword:00000000

 Email Foloseste Messaging Application Programming Interface (MAPI) pentru a trimite email-uri. Iata caracteristicile lui:


De la:
De la: Adresa expeditorului este chiar contul Outlook al utilizatorului


Catre:
– Adrese de email obtinute din WAB (Windows Address Book)


Subiect:
Urmatorul:
   • %text in limba chineza%



Corpul email-ului:
Corpul email-ului este:
   • %text in limba chineza% Document.exe %text in limba chineza%


Atasament:
Numele fisierului atasat este urmatorul:
   • Document.exe

Atasamentul este o copie malware.



Email-ul arata astfel:


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.

Die Beschreibung wurde erstellt von Andrei Gherman am Freitag, 21. September 2007
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 21. September 2007

zurück . . . .