Nume:Worm/Koobface.38400D.1
Descoperit pe data de:09/02/2010
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:38.400 Bytes
MD5:879acbc3fb893a48c04165c307e43f81
Versiune IVDF:7.10.04.02 - Tuesday, February 9, 2010

 General Alias:
   •  Sophos: Mal/Generic-A
   •  Panda: W32/Koobface.GI.worm
   •  Eset: Win32/Koobface.NCL
   •  Bitdefender: Trojan.Koobface.67


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %unitate disc%\windows\pp14.exe



Suprascrie un fisier.
– %WINDIR%\pp14.exe



Sterge copia initiala a virusului.



Sterge urmatorul fisier:
   • %WINDIR%\dxxdv34567.bat



Sunt create fisierele:

– %WINDIR%\dxxdv34567.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.
– %WINDIR%\fdgg34353edfgdfdf



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://microsoft.msn.com.ero**********.info/?data=%sir de caractere%


– Adresa este urmatoarea:
   • http://microsoft.msn.com.eround.info/**********?456544


– Adresa este urmatoarea:
   • http://microsoft.msn.com.eround.info/**********?695599


– Adresele sunt urmatoarele:
   • http://welovetweet.com/**********/?action=%sir de caractere%&v=%numar%&crc=%numar%
   • http://welovetweet.com/**********/?action=%sir de caractere%&a=%numar%&v=%numar%&pid


– Adresa este urmatoarea:
   • http://microsoft.msn.com.eround.info/**********?referer&screen=%sir de caractere%&url=%sir de caractere%&rand=%numar%


– Adresa este urmatoarea:
   • http://gog**********.com/?data=%sir de caractere%




Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • cmd /c %WINDIR%\dxxdv34567.bat


– Numele fisierului:
   • "%PROGRAM FILES%\Internet Explorer\iexplore.exe" -Embedding

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "pp"="%WINDIR%\pp14.exe"



Urmatoarea cheie din registri este modificata:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Noua valoare:
   • "Locked"=dword:0x00000000

 Alte informatii  Cauta o conexiune Internet, contactand urmatorul website:
   • http://www.google.com

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Monday, June 21, 2010
Description updated by Petre Galan on Monday, June 21, 2010

Back . . . .