Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:Worm/Yimfoca.A.38
Descoperit pe data de:18/05/2011
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:46.592 Bytes
MD5:bc9ef86be61af1a78e4af6f95cf4b82e
Versiune VDF:7.11.08.60 - miercuri, 18 mai 2011
Versiune IVDF:7.11.08.60 - miercuri, 18 mai 2011

 General Metoda de raspandire:
   • Messenger


Alias:
   •  Kaspersky: Trojan.Win32.Buzus.hgrb
   •  F-Secure: Trojan.Win32.Buzus.hgrb
   •  Bitdefender: Trojan.Generic.5748790
   •  GData: Trojan.Generic.5748790
   •  DrWeb: Trojan.DownLoader2.61692


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\nvsvc32.exe




Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • netsh firewall add allowedprogram 1.exe 1 ENABLE


– Numele fisierului:
   • %WINDIR%\nvsvc32.exe


– Numele fisierului:
   • explorer.exe http://browseusers.myspace.com/Browse/Browse.aspx


– Numele fisierului:
   • net stop wuauserv


– Numele fisierului:
   • net stop MsMpSvc


– Numele fisierului:
   • sc config wuauserv start= disabled


– Numele fisierului:
   • sc config MsMpSvc start= disabled


– Numele fisierului:
   • net1 stop wuauserv


– Numele fisierului:
   • net1 stop MsMpSvc

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%fisier executat%"="%WINDIR%\nvsvc32.exe:*:Enabled:NVIDIA
      driver monitor"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Windows Messenger
– Yahoo Messenger

URL-ul trimte la o copie a malware-ului descris. Daca utilizatorul descarca si executa acest fisier, procesul de infectare porneste din nou.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: 75.102.**********.40
Port: 1866
Canal: #!high!
Nick: NEW-[USA|00|P|%numar%]

 Injectarea codului malware in alte procese – Injecteaza o rutina care supravegheaza procesele intr-un alt proces.

    Numele procesului:
   • explorer.exe


 Alte informatii Acceseaza resurse de pe internet:
   • http://browseusers.myspace.com/Browse/**********
   • http://www.facebook.com


Mutex:
Creeaza urmatorul mutex:
   • Nvidia Drive Mon

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Tuesday, June 28, 2011
Description updated by Petre Galan on Tuesday, June 28, 2011

Back . . . .