Nume:Worm/Yimfoca.A.23
Descoperit pe data de:01/05/2011
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:151.552 Bytes
MD5:0FCC67F846B38F633FADCB3784B65CE4
Versiune VDF:7.11.07.95 - Sunday, May 1, 2011
Versiune IVDF:7.11.07.95 - Sunday, May 1, 2011

 General Metoda de raspandire:
   • Messenger


Alias:
   •  Kaspersky: Worm.Win32.AutoRun.cjxa
   •  Eset: Win32/Yimfoca.AG


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Reduce setarile de securitate
   • Modificari in registri


Dupa activare, ruleaza un program Windows care afiseaza urmatoarea fereastra:


 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\csrss.exe




Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • net
cu urmatorii parametri: stop wuauserv


– Numele fisierului:
   • net
cu urmatorii parametri: stop MsMpSvc


– Numele fisierului:
   • sc
cu urmatorii parametri: config wuauserv start= disabled


– Numele fisierului:
   • sc
cu urmatorii parametri: config MsMpSvc start= disabled


– Numele fisierului:
   • netsh
cu urmatorii parametri: firewall add allowedprogram 1.exe 1 ENABLE


– Numele fisierului:
   • explorer.exe
cu urmatorii parametri: http://browseusers.myspace.com/Browse/Browse.aspx

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows System Devices Manager"="%WINDIR%\csrss.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows System Devices Manager"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows System Devices Manager"="%WINDIR%\csrss.exe"



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%fisier executat%"="%WINDIR%\csrss.exe:*:Enabled:Windows
      System Devices Manager"



Urmatoarele chei din registri sunt modificate:

– [HKCR\TypeLib\{1EA4DBF0-3C3B-11CF-810C-00AA00389B71}\1.1\0\win32]
   Noua valoare:
   • "(Default)" = "oleacc.dll"

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Vechea valoare:
   • "Start" = dword:00000001
   Noua valoare:
   • "Start" = dword:00000004

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Yahoo Messenger

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: 100m**********.ru
Port: 2866
Parola serverului: xxx
Canal: #!nine!
Nick: NEW-[%combinatie de caractere aleatoare%]
Parola: test

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andrei Gherman on Thursday, July 28, 2011
Description updated by Andrei Gherman on Thursday, July 28, 2011

Back . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. All rights reserved.

My Account

https:// This window is encrypted for your security.