Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:Worm/Drefir.E
Descoperit pe data de:24/06/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:128.328 Bytes
MD5:33be61dcfce0efaf88fda9adda4ddf7c
Versiune IVDF:6.31.00.108 - vineri, 24 iunie 2005

 General Metoda de raspandire:
   • Email


Alias:
   •  Mcafee: W32/Drefir.worm
   •  Sophos: W32/Dref-C
   •  Panda: W32/Drefir.E.worm
   •  Eset: Win32/Drefir.E
   •  Bitdefender: Win32.Worm.Drefir.E.DAM@MM


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\SysDrefIWv2.exe

 Registrii sistemului Se adauga una din valorile urmatoare pentru fiecare cheie din registri, pentru a porni procesul dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe



Urmatoarele chei din registri sunt modificate:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Noua valoare:
   • "%directorul de activare malware%\%fisier executat%" = "%directorul de activare malware%\%fisier executat%:*:Enabled:%fisier executat%"

Dezactiveaza Windows XP Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Noua valoare:
   • "Start" = 00000004

 Email Foloseste Messaging Application Programming Interface (MAPI) pentru a trimite email-uri. Iata caracteristicile lui:


De la:
De la: Adresa expeditorului este chiar contul Outlook al utilizatorului


Catre:
– Adrese de email obtinute din WAB (Windows Address Book)


Subiect:
Unul din urmatoarele:
   • just read it,its fantastic
   • here are the porn you asked me to show you...
   • here are the programms you asked me to mail you
   • for any help,mail me back
   • please read again what i have written to you !
   • here are the pictures you asked me to send you.
   • My Story
   • Your Stuff
   • Your Files



Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • Story.scr
   • linda.scr
   • musicbox.exe
   • mail.scr
   • pictures_1.exe
   • My Life.rar
   • porn.rar
   • package1.rar
   • info.rar
   • pictures.rar

Atasamentul este o copie malware.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: irc.e**********.net
Port: 6667

Server: eu.u**********.org
Port: 6667

Server: us.u**********.org
Port: 6667

Server: irc.d**********.net
Port: 6667

Server: irc.r**********.net
Port: 6667

Server: irc.fr.i**********.net
Port: 6667

Server: irc.i**********.ee
Port: 6667

Server: random.i**********.de
Port: 6667

Server: irc.us.i**********.net
Port: 6667

Server: irc.q**********.org
Port: 6667

Server: leak.e**********.co.uk
Port: 8080
Canal: #irc


– In plus, poate efectua urmatoarele operatii:
    • trimitere email-uri
    • Vizitarea unui website

 Alte informatii  Cauta o conexiune Internet, contactand urmatorul website:
   • http://www.google.com/

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Friday, February 5, 2010
Description updated by Petre Galan on Friday, February 5, 2010

Back . . . .