Nume:Worm/Autorun.dcm
Descoperit pe data de:27/03/2008
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:13.824 Bytes
MD5:7e924990480D44af6a239329b2e682cb
Versiune VDF:7.00.03.77
Versiune IVDF:7.00.03.82 - jueves 27 de marzo de 2008

 General Metoda de raspandire:
   • Discuri de retea mapate


Alias:
   •  Kaspersky: Worm.Win32.AutoRun.dcm
   •  F-Secure: Worm.Win32.AutoRun.dcm
   •  Grisoft: Worm/Generic.GRV
   •  Eset: Win32/AutoRun.KS
   •  Bitdefender: Win32.Worm.TQW


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %recycle bin%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe
   • %unitate disc%:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe



Sunt create fisierele:

– Fisier inofensiv:
   • %recycle
      bin%\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
   • StubPath="%recycle bin%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe"

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: tassweq.com
Port: 7000
Parola serverului: trb123trb
Canal: #alhailam
Nick: %combinatie de caractere aleatoare%


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS UDP
    • intrare pe canal IRC

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • EXPLORER.EXE

   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Ana Maria Niculescu el viernes 13 de junio de 2008
Descripción actualizada por Andrei Gherman el jueves 31 de julio de 2008

Volver . . . .