Nume:Worm/McMaggot.A
Descoperit pe data de:04/12/2008
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:449.024 Bytes
MD5:0Aa203943d1e264973b2993ca09ef4c3
Versiune IVDF:7.01.00.184 - Donnerstag, 4. Dezember 2008

 General Metoda de raspandire:
   • Email


Alias:
   •  Symantec: W32.Ackantta@mm
   •  Mcafee: W32/Xirtem@MM virus !!!
   •  Kaspersky: Trojan-Banker.Win32.Banker.abbi
   •  Grisoft: Downloader.Agent.APQJ
   •  Bitdefender: Win32.Worm.McMaggot.A

Initial identificat ca:
   •  TR/Dropper.Gen


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\vxworks.exe



Este creat fisierul:

– %SYSDIR%\qnx.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/McMaggot.A

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • Wind River Systems"="c:\windows\\system32\\vxworks.exe



Urmatoarele chei din registri sunt modificate:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   Noua valoare:
   • c:\windows\\system32\\vxworks.exe"="c:\windows\\system32\\vxworks.exe:*:Enabled:Explorer

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Expeditorul email-ului este unul din urmatorii:
   • giveaway@mcdonalds.com
   • noreply@coca-cola.com
   • postcards@hallmark.com


Subiect:
Unul din urmatoarele:
   • Coca Cola is proud to accounce our new Christmas Promotion.
   • Mcdonalds wishes you Merry Christmas!
   • You've received A Hallmark E-Card!



Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • coupon.zip
   • postcard.zip
   • promotion.zip

Atasamentul este o arhiva ce contine chiar o copie malware.



 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Alexander Neth am Donnerstag, 4. Dezember 2008
Die Beschreibung wurde geändert von Alexander Neth am Donnerstag, 4. Dezember 2008

zurück . . . .