Nume:Worm/Waledac.48640
Descoperit pe data de:18/03/2009
Tip:Vierme
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:48.640 Bytes
MD5:f9117bf6469b48d8240F4f09aa5adca5
Versiune IVDF:7.01.02.184 - mercredi 18 mars 2009

 General Alias:
   •  Mcafee: W32/Waledac.gen.e
   •  Sophos: Mal/WaledPak-A
   •  Panda: W32/Iksmas.F.worm
   •  Eset: Win32/Waledac.HL
   •  Bitdefender: Trojan.Waledac.DB


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Creeaza un fisier malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\1042m.exe



Sterge copia initiala a virusului.



Este creat fisierul:

– Un fisier temporar care poate fi sters dupa aceea:
   • %SYSDIR%\1962655114.dat




Incearca sa descarce un fisier:

– Adresele sunt urmatoarele:
   • http://ShopVideoSchools.cn/v3/**********
   • http://ShopFilmWorld.cn/v3/**********
   • http://MartPictureExistence.cn/v3/**********
   • http://ShopPictureLife.cn/v3/**********
   • http://ShopPigLiving.cn/v3/**********
   • http://ShopVideoFest.cn/v3/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccessdmadmin]
   • "ImagePath"="%SYSDIR%\1042m.exe srv"
   • "DisplayName"="Routing and Remote Access RemoteAccessdmadmin"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x2
   • "ErrorControl"=dword:0x0
   • "Type"=dword:0x110

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Petre Galan le jeudi 15 octobre 2009

Retour . . . .