Nume:Worm/Joleee.egn
Descoperit pe data de:13/11/2009
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:21.504 Bytes
MD5:099db8e1dd71632eb35648eec3c31778
Versiune IVDF:7.01.06.231 - Freitag, 13. November 2009

 General Alias:
   •  Panda: W32/Joleee.Z.worm
   •  Eset: Win32/SpamTool.Tedroo.AB
   •  Bitdefender: Trojan.Generic.2674731


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Suprascrie urmatoarele fisiere.
– %WINDIR%\explorer.exe
– %SYSDIR%\dllcache\explorer.exe



Este creat fisierul:

– %TEMPDIR%\fhrqisgx.tmp



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://195.190.13.130/spm/**********?id=1125796&tick=1125796&ver=101&smtp=ok&task=0
Analiza ulterioara a relevat ca si acest fisier este malware.

– Adresa este urmatoarea:
   • http://195.190.13.130/spm/**********
Analiza ulterioara a relevat ca si acest fisier este malware.

 Registrii sistemului Se adauga una din valorile urmatoare pentru fiecare cheie din registri, pentru a porni procesul dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"



Urmatoarea cheie din registri este modificata:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Noua valoare:
   • "remove"="%fisier executat%"

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 11. März 2010
Die Beschreibung wurde geändert von Petre Galan am Freitag, 12. März 2010

zurück . . . .