Nume:Worm/Winko.I
Descoperit pe data de:22/10/2007
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~17.000 Bytes
Versiune IVDF:7.00.00.117 - Monday, October 22, 2007

 General Metoda de raspandire:
   • Discuri de retea mapate


Alias:
   •  Kaspersky: Worm.Win32.AutoRun.cxp
   •  F-Secure: Worm:W32/AutoRun.CX
   •  Grisoft: Downloader.Small.BYN
   •  Eset: Win32/TrojanDownloader.Flux.AC
   •  Bitdefender: Win32.Worm.Winko.I

Detectii similare:
   •  Worm/Winko.I.%numar%


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Creeaza un fisier malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\%cateva cifre aleatoare%.EXE
   • %unitate disc%\auto.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %SYSDIR%\C%cateva cifre aleatoare%.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Autorun.CA




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://33.xingaide8.cn/**********/update.txt
Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %combinatie de caractere aleatoare%]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\%cateva cifre aleatoare%.EXE -k
   • DisplayName = %combinatie de caractere aleatoare%
   • ObjectName = LocalSystem
   • Description = C%cateva cifre aleatoare%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %combinatie de caractere aleatoare%\Security]
   • Security = %valori hex%



Se sterge urmatoarea cheie din registri, inclusiv toate valorile si cheile subordnate:
   • [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Noua valoare:
   • CheckedValue = 0

– [HKLM\SOFTWARE\Microsoft\Windows NT]
   Noua valoare:
   • ReportBootOk= 1

– [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
   Noua valoare:
   • DoReport = 0
   • ShowUI = 0

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\C%cateva cifre aleatoare%.dll

    Urmatoarele procese:
   • explorer.exe
   • winlogon.exe
   • %toate procesele active%

   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • Upack

Description inserted by Andrei Gherman on Monday, June 16, 2008
Description updated by Andrei Gherman on Thursday, June 19, 2008

Back . . . .