Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:Worm/Rays
Descoperit pe data de:03/02/2004
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:49.152 Bytes
MD5:e8d54b8ac74c2982fad37567b3bd1ced
Versiune VDF:6.24.00.34

 General Metode de raspandire:
   • Email
   • Reteaua locala


Alias:
   •  Symantec: W32.Wullik@mm
   •  Kaspersky: Email-Worm.Win32.Wukill
   •  TrendMicro: WORM_WUKILL.B
   •  Sophos: W32/Wukill-B
   •  Grisoft: I-Worm/Wukill.B
   •  VirusBuster: virus I-Worm.Wukill.B
   •  Bitdefender: Win32.Rays.A@mm


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri


Imediat dupa lansarea in executie, pe ecran este afisat:


 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\system\%combinatie de caractere aleatoare%.exe
   • %WINDIR%\web\%combinatie de caractere aleatoare%.exe
   • %WINDIR%\fonts\%combinatie de caractere aleatoare%.exe
   • %WINDIR%\temp\%combinatie de caractere aleatoare%.exe
   • %WINDIR%\help\%combinatie de caractere aleatoare%.exe
   • %unitate disc%:\winfile.exe
   • %directorul curent%\%numele directorului curent%.exe



Scrie pe disc copii ale lui alegand numele fisierului din listele:
– Catre: c:\windows Folosind unul din urmatoarele nume:
   • Mstray.exe
   • MsHelp.exe




Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
   • %TEMPDIR%\~%numar hexazecimal%.tmp

%unitate disc%:\desktop.ini Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • [.ShellClassInfo]
     HTMLInfoTipFile=file://Comment.htt
     ConfirmFileOp = 0

%unitate disc%:\comment.htt Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: VBS/Starter.B

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "RavTimeXP"="%directorul de activare malware%\%fisier executat%"
   • "RavTimXP"="%directorul de activare malware%\%fisier executat%"



Valoarea urmatoarei chei este stearsa din registri:

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "RavTimXP"="%directorul de activare malware%\%fisier executat%"



Urmatoarele chei din registri sunt modificate:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Vechea valoare:
   • "Hidden"=%setarile utilizatorului%
   • "HideFileExt"=%setarile utilizatorului%
   Noua valoare:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Vechea valoare:
   • "fullpath" = %setarile utilizatorului%
   Noua valoare:
   • "fullpath" = dword:00000001

 Email Foloseste Microsoft Outlook pentru a trimite e-mail-uri. Iata caracterisiticle lui:


De la:
De la: Adresa expeditorului este chiar contul Outlook al utilizatorului


Catre:
– Adrese de email obtinute din WAB (Windows Address Book)


Subiect:
Urmatorul:
   • MS-DOS????



Corpul email-ului:
– Contine cod HTML.
Corpul email-ului este:

   • 这是一款相当好的MS—DOS帮助文件。
     看看吧,对你有好处的。


Atasament:
Numele fisierului atasat este urmatorul:
   • MShelp.EXE

Atasamentul este o copie malware.



Email-ul arata astfel:


 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza o copie malware in urmatorul share de retea:
   • %directorul curent%

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Visual Basic.

Description inserted by Daniel Constantin on Monday, March 13, 2006
Description updated by Andrei Gherman on Friday, April 24, 2009

Back . . . .