Description complète

Nume:	Worm/Rindu.D
Descoperit pe data de:	28/08/2007
Tip:	Vierme
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Mediu
Potential de distrugere:	Mediu spre ridicat
Fisier static:	Da
Marime:	107.008 Bytes
MD5:	85eeb3645837f31308f44f9746c9bc82
Versiune VDF:	6.39.01.79
Versiune IVDF:	6.39.01.082

General Metode de raspandire:
   • Reteaua locala
   • Discuri de retea mapate

Alias:
   • Mcafee: W32/Ridnu.d
   • Panda: W32/Ridnu.F.drp

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Inchide aplicatiile de securitate
   • Reduce setarile de securitate
   • Modificari in registri

Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\logonui.scr
   • %SYSDIR%\MyComp.scr
   • %SYSDIR%\userinit.exe
   • %SYSDIR%\sndvol32.exe
   • %SYSDIR%\calc.exe
   • %SYSDIR%\notepad.exe
   • %SYSDIR%\mspaint.exe
   • C:\MSOCache\dlcache\Lagu.scr
   • C:\MSOCache\dlcache\Gambar.scr
   • C:\MSOCache\dlcache\Film.scr
   • C:\MSOCache\dlcache\Dokumen Penting.scr
   • %PROGRAM FILES%\outlook express.scr
   • %PROGRAM FILES%\winamp.scr
   • %PROGRAM FILES%\Windows Media Player.scr
   • %PROGRAM FILES%\Windows NT\dialer.exe
   • %PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE

Creeaza urmatorul director:
   • C:\MSOCache\dlcache\

Urmatoarelor fisiere le sunt adaugate sectiuni:
– Catre: %SYSDIR%\dllcache\userinit.exe Cu urmatorul continut:
   • %fisier executat%

– Catre: %SYSDIR%\dllcache\sndvol32.exe Cu urmatorul continut:
   • %fisier executat%

– Catre: %SYSDIR%\dllcache\calc.exe Cu urmatorul continut:
   • %fisier executat%

– Catre: %SYSDIR%\dllcache\notepad.exe Cu urmatorul continut:
   • %fisier executat%

– Catre: %SYSDIR%\dllcache\mspaint.exe Cu urmatorul continut:
   • %fisier executat%

– Catre: %SYSDIR%\dllcache\iexplore.exe Cu urmatorul continut:
   • %fisier executat%

Suprascrie un fisier.
– %PROGRAM FILES%

Extensia fisierului:
   • *.exe

Cu urmatorul continut:
   • %fisier executat%

Copiaza fisierele:
    • %SYSDIR%\userinit.exe în %SYSDIR%\dllcache\userinit.exe
    • %SYSDIR%\sndvol32.exe în %SYSDIR%\dllcache\sndvol32.exe
    • %SYSDIR%\calc.exe în %SYSDIR%\dllcache\calc.exe
    • %SYSDIR%\notepad.exe în %SYSDIR%\dllcache\notepad.exe
    • %SYSDIR%\mspaint.exe în %SYSDIR%\dllcache\mspaint.exe
    • %PROGRAM FILES%\Internet Explorer\iexplore.exe în %SYSDIR%\dllcache\iexplore.exe

Este creat fisierul:

– %WINDIR%\media\suara.mp3

Registrii sistemului Urmatoarele chei din registri sunt modificate:

Diverse setari in Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Vechea valoare:
   • "RegPath"="%setarile utilizatorului%"
   Noua valoare:
   • "RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\AdvancedDeulleDo-X"

Diverse setari in Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Vechea valoare:
   • "UncheckedValue"=%setarile utilizatorului%
   Noua valoare:
   • "UncheckedValue"=dword:00000000

Diverse setari in Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\ShowFullPathAddress]
   Vechea valoare:
   • "UncheckedValue"=%setarile utilizatorului%
   Noua valoare:
   • "UncheckedValue"=dword:00000001

Diverse setari in Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Vechea valoare:
   • "UncheckedValue"=%setarile utilizatorului%
   Noua valoare:
   • "UncheckedValue"=dword:00000001

Dezactivarea programelor Regedit si Task Manager:
– [HKCU\Software\Policies\Microsoft\Windows\System]
   Vechea valoare:
   • "DisableCMD"=%setarile utilizatorului%
   Noua valoare:
   • "DisableCMD"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Vechea valoare:
   • "FullPathAddress"=%setarile utilizatorului%
   Noua valoare:
   • "FullPathAddress"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "Shell"="%setarile utilizatorului%"
   Noua valoare:
   • "Shell"="Explorer.exe, MyComp.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Vechea valoare:
   • "DisableTaskMgr"="%setarile utilizatorului%"
     "DisableRegistryTools"=%setarile utilizatorului%
   Noua valoare:
   • "DisableTaskMgr"="1"
     "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Classes\scrfile]
   Vechea valoare:
   • @=""="%setarile utilizatorului%"
     "NeverShowExt"=%setarile utilizatorului%
   Noua valoare:
   • @="File Folder"
     "NeverShowExt"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Vechea valoare:
   • "NoFolderOptions"=%setarile utilizatorului%
     "NoFind"=%setarile utilizatorului%
     "NoRun"=%setarile utilizatorului%
   Noua valoare:
   • "NoFolderOptions"=dword:00000001
     "NoFind"=dword:00000001
     "NoRun"=dword:00000001


– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Vechea valoare:
   • "ShowSuperHidden"=%setarile utilizatorului%
     "HideFileExt"=%setarile utilizatorului%
   Noua valoare:
   • "ShowSuperHidden"=dword:00000000
     "HideFileExt"=dword:00000001

Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • IPC$\
   • Data.C$\
   • Data.D$\
   • Data.E$\
   • Data.F$\
   • Data.G$\
   • Data.H$\
   • imorxr$\Lagu.scr
   • imorxr$\Gambar.scr
   • imorxr$\Film.scr
   • imorxr$\Dokumen Penting.scr

Terminarea proceselor Sunt inchise procesele care au titlul ferestri unul din urmatoarele:
   • ANTI; TROJAN; SUPPORT; MASTER; WORM; VIRUS; HACK; CRACK; LINUX; AVG;
      GRISOFT; CILLIN; SECURITY; LOCK; ASSOCIAT; SETUP; VAKSIN; UPDATE;
      TEST; XXX; HIDDEN; DEMO; SYSTEM32; AFEE; NORTON; RONTOK; PCMAV; W32;
      BLACK; MACRO; deulledo; TREND; SPERSKY; REGISTRY; COMMAND; KILL;
      NORMAN; FILM; PORNO; SVQj; PROCEXPL

Alte informatii Network Sharing:
Se creeaza urmatoarele share-uri:
   • imorxr$\
   • Data.C$\
   • Data.D$\
   • Data.E$\
   • Data.F$\
   • Data.G$\
   • Data.H$\

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Delphi.

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
• UPX

Description insérée par Monica Ghitun le lundi 3 septembre 2007
Description mise à jour par Monica Ghitun le mercredi 5 septembre 2007

Retour . . . .

Protection avancée pour votre PC

Produits gratuits

Les plus populaires

Tous les produits

Offres groupées

Stations de travail

Server

Offres groupées

Mail Gateways

Web Gateways

Plateformes collaboratives

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils