Nome del virus:Worm/Aimbot.R
Scoperto:02/08/2005
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
File statico:Si
Dimensione del file:221.480 Byte
Somma di controllo MD5:6cc4b5399b9c4963eb5e1b0934514d0a
Versione VDF:6.31.1.6

 Generale Metodo di propagazione:
   • Messenger


Alias:
   •  Symantec: W32.Allim
   •  Mcafee: W32/Opanki.worm.gen
   •  Kaspersky: Backdoor.Win32.Aimbot.r
   •  TrendMicro: WORM_OPANKI.Z
   •  VirusBuster: Backdoor.Aimbot.C


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

 File Si copia alla seguente posizione:
   • %WINDIR%\taskbar.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Search Bar"="c:\windows\taskbar.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Task Update"="taskbar.exec:\windows\taskbar.exe"

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– AIM Messenger


A:
Tutti i dati immessi nella lista dei contatti.
Il messaggio inviato è tipo il seguente:


Propagazione via URL
Invia il seguente link:
   • http://www.postyourpicture.com/**********/52311.jpg

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: dns.chil0rd.com
Porta: 185
Canale: #fate
Nickname: <%casuale%>
Password: deadbeaf

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Iulian Popa su mercoledì 3 agosto 2005
Descrizione aggiornata da Iulian Popa su mercoledì 7 settembre 2005

Indietro . . . .