Nume:Worm/BackNine
Descoperit pe data de:09/03/2007
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu spre ridicat
Fisier static:Da
Marime:20.992 Bytes
MD5:000B5aea832ad9e266b0abe8ac0B757e
Versiune VDF:6.38.00.23 - Friday, March 9, 2007
Versiune IVDF:6.38.00.23 - Friday, March 9, 2007

 General Alias:
   •  Kaspersky: Trojan.Win32.Crypt.ab
   •  F-Secure: Trojan.Win32.Crypt.ab
   •  Bitdefender: Trojan.Ransom.B


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Dupa activare, ruleaza un program Windows care afiseaza urmatoarea fereastra:


 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\recovery.exe
   • %SYSDIR%\kkk.exe


Criptare:
Creeaza noi fisiere, care contin copii criptate ale fisierelor gasite.

Scaneaza urmatorul director:
   • %toate directoarele%

Numele arhivei este identic cu cel al fisierului original, avand extensia arhivei.

Numele arhivei este:
   • *.rwg



Este creat fisierul:

– %SYSDIR%\RansomWar.txt Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • Dear user,
      some of your files have been encrypted using a quite strong system.
     Now you are scared but I will not ask you for money.
     If you want to get back your files you can do following:
     1) Contact a good antivirus-company that will decrypt them for you
     2) You can send an email to **********@yahoo.com requesting a decryptor program
     3) You can launch your PC trought the window or use a better OS (like linux) :)
     
      RansomWar by [WarGame,eof]

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • run = %SYSDIR%\recovery.exe

 Email Foloseste Messaging Application Programming Interface (MAPI) pentru a trimite raspunsuri la email-urile stocate in Inbox. Iata caracteristicile lui:


De la:
De la: Adresa expeditorului este chiar contul Outlook al utilizatorului


Formatul email-ului:
 


Subiect: You are a very lucky man, read this mail!
Corp mesaj:
   • Hi, you won a big amount of money!!! If you want to know more look at the attachment!
Atasament:
   • BigCashForYou.exe



Email-ul arata astfel:


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description inserted by Andrei Gherman on Tuesday, May 15, 2007
Description updated by Andrei Gherman on Tuesday, May 15, 2007

Back . . . .