Nume:Worm/Autorun.dcm
Descoperit pe data de:27/03/2008
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:13.824 Bytes
MD5:7e924990480D44af6a239329b2e682cb
Versiune VDF:7.00.03.77
Versiune IVDF:7.00.03.82 - jeudi 27 mars 2008

 General Metoda de raspandire:
   • Discuri de retea mapate


Alias:
   •  Kaspersky: Worm.Win32.AutoRun.dcm
   •  F-Secure: Worm.Win32.AutoRun.dcm
   •  Grisoft: Worm/Generic.GRV
   •  Eset: Win32/AutoRun.KS
   •  Bitdefender: Win32.Worm.TQW


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %recycle bin%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe
   • %unitate disc%:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe



Sunt create fisierele:

– Fisier inofensiv:
   • %recycle
      bin%\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
   • StubPath="%recycle bin%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe"

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: tassweq.com
Port: 7000
Parola serverului: trb123trb
Canal: #alhailam
Nick: %combinatie de caractere aleatoare%


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS UDP
    • intrare pe canal IRC

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • EXPLORER.EXE

   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Ana Maria Niculescu le vendredi 13 juin 2008
Description mise à jour par Andrei Gherman le jeudi 31 juillet 2008

Retour . . . .