Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:WORM/Silly_P2P.H.14
Descoperit pe data de:28/04/2011
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:671.788 Bytes
MD5:B8ED2E73B39AE02B15244C52DDA5505C
Versiune VDF:7.11.07.62 - joi, 28 aprilie 2011
Versiune IVDF:7.11.07.62 - joi, 28 aprilie 2011

 General Metode de raspandire:
    Functia autorun
    Messenger


Alias:
   •  Kaspersky: Trojan.Win32.Llac.yxq
   •  Sophos: Troj/Agent-RYH
     Microsoft: Worm:Win32/Silly_P2P.H


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %APPDATA%\webdev.exe



Sunt create fisierele:

%TEMPDIR%\google_cache2.tmp Contine parametri folositi de malware.
%TEMPDIR%\%valori hex% Contine parametri folositi de malware.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WindowsUpdate"="%APPDATA%\webdev.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WindowsUpdate"="%APPDATA%\webdev.exe"



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "WindowsUpdate"="%APPDATA%\webdev.exe"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

 Windows Messenger

URL-ul trimte la o copie a malware-ului descris. Daca utilizatorul descarca si executa acest fisier, procesul de infectare porneste din nou.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: qeshmjaa.zapto.org



 Acest malware poate obtine si trimite infomatii cum ar fi:
    • ID-ul platformei
    • Informatii despre sistemul de operare


 In plus, poate efectua urmatoarele operatii:
     conectare server IRC
     deconectare server IRC
    • executare atac DDoS
     Porneste rutina de raspandire

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • ASPack

Description inserted by Andrei Ilie on Tuesday, September 20, 2011
Description updated by Andrei Ilie on Wednesday, September 21, 2011

Back . . . .