Nume:Worm/McMaggot.A
Descoperit pe data de:04/12/2008
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:449.024 Bytes
MD5:0Aa203943d1e264973b2993ca09ef4c3
Versiune IVDF:7.01.00.184 - jueves 4 de diciembre de 2008

 General Metoda de raspandire:
   • Email


Alias:
   •  Symantec: W32.Ackantta@mm
   •  Mcafee: W32/Xirtem@MM virus !!!
   •  Kaspersky: Trojan-Banker.Win32.Banker.abbi
   •  Grisoft: Downloader.Agent.APQJ
   •  Bitdefender: Win32.Worm.McMaggot.A

Initial identificat ca:
   •  TR/Dropper.Gen


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\vxworks.exe



Este creat fisierul:

– %SYSDIR%\qnx.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/McMaggot.A

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • Wind River Systems"="c:\windows\\system32\\vxworks.exe



Urmatoarele chei din registri sunt modificate:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   Noua valoare:
   • c:\windows\\system32\\vxworks.exe"="c:\windows\\system32\\vxworks.exe:*:Enabled:Explorer

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.
Expeditorul email-ului este unul din urmatorii:
   • giveaway@mcdonalds.com
   • noreply@coca-cola.com
   • postcards@hallmark.com


Subiect:
Unul din urmatoarele:
   • Coca Cola is proud to accounce our new Christmas Promotion.
   • Mcdonalds wishes you Merry Christmas!
   • You've received A Hallmark E-Card!



Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • coupon.zip
   • postcard.zip
   • promotion.zip

Atasamentul este o arhiva ce contine chiar o copie malware.



 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Alexander Neth el jueves 4 de diciembre de 2008
Descripción actualizada por Alexander Neth el jueves 4 de diciembre de 2008

Volver . . . .