Nume:Worm/Harwig.C
Descoperit pe data de:30/08/2005
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut
Fisier static:Da
Marime:101,446 Bytes
MD5:070bf77be2f7361d4d52a5a646ae420d
Versiune VDF:6.30.0.222

 General Metoda de raspandire:
   • Messenger


Alias:
   •  Symantec: W32.Kelvir
   •  Mcafee: W32/Harwig.worm.gen.ba
   •  Kaspersky: IM-Worm.Win32.Harwig.a
   •  TrendMicro: WORM_HARWIG.A
   •  Sophos: W32/Harwig-C
   •  Bitdefender: Worm.Harwig.A


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Blocheaza accesul la anumite website-uri
   • Creeaza un fisier malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\abcdefg.exe



Este creat fisierul:

– %WINDIR%\AST.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/RBot.72262

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "FILE"="c:\windows\\abcdefg.exe"



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\MSNMessenger]
   • "Server"="messenger.hotmail.com;127.0.0.1:1863"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Windows Live Messenger


Mesaj
Mesajul transmis este:

   • It is you on that picture right?
     Here check it %link%
     OMG! LOL ... Some people put a picture of you online :P, did u know that???


%link%
In timp ce wildcard-ul este:
   • http://www.**********database.info/ugly/picture40328.PIF

 Fisiere host Fisierul

– In acest caz inregistrarile existente raman nemodificate.

– Accesul la urmatorul domeniu este blocat:
   • messenger.hotmail.com




Fisierul hosts modificat va arata astfel:


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • Morphine 1.4 - 2.7

Description inserted by Iulia Diaconescu on Wednesday, August 31, 2005
Description updated by Iulia Diaconescu on Monday, September 19, 2005

Back . . . .