Nume:WORM/Autorun.bfxr
Descoperit pe data de:27/04/2010
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:188.416 Bytes
MD5:89ba009b7619c36947602708f4af93db
Versiune VDF:7.10.02.209
Versiune IVDF:7.10.06.225 - Dienstag, 27. April 2010

 General Metode de raspandire:
   • Functia autorun
   • Discuri de retea mapate


Alias:
   •  Symantec: W32.Gammima.AG
   •  Kaspersky: Worm.Win32.AutoRun.bfxr
   •  TrendMicro: Mal_Run-8
   •  Sophos: Mal/Taterf-B
   •  Microsoft: Worm:Win32/Taterf.DL
   •  AVG: Win32/NSAnti.J
   •  Panda: W32/Lineage.LMP
   •  PCTools: Malware.Gammima
   •  Eset: Win32/PSW.OnLineGames.PLU
   •  DrWeb: Trojan.PWS.Wsgame.13163
   •  Ikarus: Worm.Win32.AutoRun


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Reduce setarile de securitate
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\cyban.exe
   • %unitate disc%\abqj61fm.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %SYSDIR%\ieban0.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Magania.dcar

– %SYSDIR%\cyban0.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Magania.dbzw

– %SYSDIR%\nodabc.exe Analiza ulterioara a relevat ca si acest fisier este malware.
– %SYSDIR%\nodabc0.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.ASPM.Gen

– %SYSDIR%\nodie0.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.ASPM.Gen




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://www.googlecbm.com/1**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\ah1.rar

– Adresa este urmatoarea:
   • http://www.yahookjh.com/1**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\ah.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "cybansos"="%SYSDIR%\cyban.exe"
   • "odsos"="%SYSDIR%\nodabc.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Classes\TypeLib\
   {7F235922-8F2C-4C08-83A8-BBE01BF9CC64}\1.0\0\win32]
   • "@"="%SYSDIR%\ieban0.dll"

– [HKLM\SOFTWARE\Classes\TypeLib\
   {5DA7432B-6725-4ADE-BF17-C328743011FD}\1.0\0\win32]
   • "@"="%SYSDIR%\nodie0.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{7F23592B-8F2C-4C08-83A8-BBE01BF9CC64}]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{5DA743EA-6725-4ADE-BF17-C328743011FD}]
– [HKLM\SYSTEM\ControlSet001\Services\kmixer\Enum\0]
   • "@"="\"SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}"

– [HKLM\SYSTEM\CurrentControlSet\Services\kmixer\Enum\0]
   • "@"="SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}"



Urmatoarele chei din registri sunt modificate:

Diverse setari in Explorer:

– [HKU\S-1-5-21-2052111302-1336601894-725345543-1003\Software\
   Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
   Vechea valoare:
   • "ShowSuperHidden"=dword:00000001
   Noua valoare:
   • "ShowSuperHidden"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Vechea valoare:
   • "Hdden"=dword:000000001
   Noua valoare:
   • "Hdden"=dword:000000002

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\cyban0.dll

    Numele procesului:
   • explorer.exe



– Se injecteaza intr-un proces.

    Numele procesului:
   • iexplore.exe



–  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\nodabc0.dll

    Numele procesului:
   • explorer.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Alexandru Dinu am Mittwoch, 18. August 2010
Die Beschreibung wurde geändert von Alexandru Dinu am Montag, 23. August 2010

zurück . . . .