Vollständige Virenbeschreibung

Nume:	Worm/Zhelatin.ZI
Descoperit pe data de:	22/07/2008
Tip:	Vierme
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Scazut
Fisier static:	Nu
Marime:	90624 Bytes
MD5:	a9d0ed60fec2530a497554de364d5693
Versiune IVDF:	7.00.05.148 - Dienstag, 22. Juli 2008

General Metode de raspandire:
   • Email
   • Reteaua locala

Alias:
   • Kaspersky: Email-Worm.Win32.Zhelatin.aep
   • Bitdefender: Dropped:Rootkit.Agent.AITJ

Sistem de operare:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Creeaza fisiere

Fisiere Sunt create fisierele:

– %WINDIR%\glok+serv.config Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • [config]
     [local]
     [peers]
     0000472DD17ECA4C2F0BB96FD7794A73=D9DA078C2AD400
     01006023137DA429CD240A468A5CFB77=D3F6E118166700
     0200AA5495413422502AAA57FB00CB2C=CA803A63585600
     0300EA776E0AA0591202531C3F0D4F53=7647B0A8321700
     04001B29A86C3570BF00D7351501460F=5C2E073C265300
     0500A71EC719C622B27ADE6BE2416463=C879C5BC09A100
     06001709255A3721431D0E69732E9551=3A4049CE049D00
     0700F41EF75A8D012D7D1F0C894B2F55=7C6B254D23A300
     0800BA60242320060233666E5C135067=3D11CBE4206900
     09004D0B336B44757A3D475AB0355C6D=76449C14337400
     0A0011554065B727F03B167C971C3136=599789651ABE00
     0B0082735501391F296AFA369A3BA822=DEE1913F504B00
     0C00387F7570B2105E017737C1283A7A=7B1600401B3300
     0D00F67D3654AC6C35099F55A41C6E67=44979EC5589400


– %WINDIR%\glok+22bd-6274.sys Fisierul este executat dupa ce a fost creat. Detectat ca: TR/Rootkit.Gen

Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\System\ControlSet001\Services\glok+b89-6227
• %WINDIR%\glok+b89-6227.sys

Email Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
• postmaster@; root@; @avp.; panda; abuse; @messagelab; free-av; @foo;
ntivi; admin; kasp; noone@; info@; help@; f-secur; @microsoft; rating@

Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Generarea adreselor IP:
Creeaza adrese IP aleatoare si incearca sa le contacteze.

Tehnologie Rootkit Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.

Ascunde urmatoarele:
– Propriile fisiere
– Propriile chei de registru

– Urmatoarele fisiere:
   • glok+22bd-6274.sys
   • glok+serv.config

– Urmatoarele chei de registru:
   • HKLM\System\ControlSet001\Services\glok+b89-6227
   • HKLM\System\ControlSet001\Enum\Root\legacy_glok+b89-6227
   • HKLM\System\ControlSet001\Enum\Root\LEGACY_GLOK+B89-6227\0000

Metoda folosita:
    • Ascuns de Interrupt Descriptor Table (IDT)

Se ataseaza la urmatoarele functii API:
   • ZwEnumerateKey
   • ZwEnumerateValueKey
   • ZwQueryDirectoryFile

Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Viktor Graeber am Dienstag, 22. Juli 2008
Die Beschreibung wurde geändert von Viktor Graeber am Dienstag, 22. Juli 2008

zurück . . . .

PC Schutz

Gratis-Produkte

Beliebteste Produkte

Alle Produkte

Bundle-Lösungen

Arbeitsplatzrechner

Server

Bundle-Lösungen

Mail Gateways

Web Gateways

Kollaborationsplattformen

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools