Descrizione completa

Nome del virus:	Worm/Arduk.G
Scoperto:	15/07/2005
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio-Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	13.312 Byte
Somma di controllo MD5:	383a48fe9d8e8d8ba3240756d686c696
Versione VDF:	6.25.0.18

Generale Metodo di propagazione:
   • Email

Alias:
   • Symantec: W32.Adurk@mm
   • Mcafee: W32/Ardurk.gen@MM
   • Kaspersky: Email-Worm.Win32.Ardurk.g
   • TrendMicro: WORM_ADURK.A
   • Sophos: W32/Ardurk-G
   • VirusBuster: I-Worm.Ardurk.G

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

Giusto dopo l'esecuzione viene visualizzata la seguente informazione:

File Si copia alla seguente posizione:
   • %SYSDIR%\%file eseguiti%.exe

Fa una copia di se stesso utilizzando un nome file dalla lista:
Utilizzando uno dei seguenti nomi:
   • %ogni file *.htm% .exe

Una sezione viene aggiunta a un file.
– A: %ogni file *.htm% .exe Con i seguenti contenuti:
   • <OBJECT type="application/x-oleobject"CLASSID="%CLSID generato%"></OBJECT><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Namesd"="%file eseguiti%.exe"

Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\%file eseguiti%.exe]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "DisplayName"="%file eseguiti%.exe"
   • "ObjectName"="LocalSystem"
   • "ImagePath"="%SYSDIR%\%file eseguiti%.exe "

– [HKLM\SYSTEM\CurrentControlSet\Services\%file eseguiti%.exe\
   Enum]
   • "0"="Root\\LEGACY_%file eseguiti%.EXE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\%file eseguiti%.exe\
   Security]
   • Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

Vengono aggiunte le seguenti chiavi di registro:

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%file eseguiti%.EXE]
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%file eseguiti%.EXE\0000]
   • "Service"="%file eseguiti%.exe"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="%file eseguiti%.exe"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%file eseguiti%.EXE\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="%file eseguiti%.exe"

– HKCR\CLSID\{%CLSID generato%}\LocalServer32]
   • @="%directory di esecuzione del malware%\\%file eseguiti%.exe"

– [HKCR\CLSID\{%CLSID generato%}]
   • @="%ogni file *.htm% .exe"

– [HKCR\CLSID\{%CLSID generato%}\LocalServer32]
   • @="%directory di esecuzione del malware%\\%ogni file *.htm% .exe"

Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent]
   Valore precedente:
   • @=dword:0000000a
   Nuovo valore:
   • @=dword:0000000d

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares]
   Valore precedente:
   • "C"=hex(7):43,00,53,00,43,00,46,00,6c,00,61,00,67,00,73,00,3d,00,30,00,00,00,\
      4d,00,61,00,78,00,55,00,73,00,65,00,73,00,3d,00,34,00,32,00,39,00,34,00,39,\
      00,36,00,37,00,32,00,39,00,35,00,00,00,50,00,61,00,74,00,68,00,3d,00,43,00,\
      3a,00,5c,00,00,00,50,00,65,00,72,00,6d,00,69,00,73,00,73,00,69,00,6f,00,6e,\
      00,73,00,3d,00,30,00,00,00,52,00,65,00,6d,00,61,00,72,00,6b,00,3d,00,00,00,\
      54,00,79,00,70,00,65,00,3d,00,30,00,00,00,00,00
   Nuovo valore:
   • "C"=hex(7):43,00,53,00,43,00,46,00,6c,00,61,00,67,00,73,00,3d,00,30,00,00,00,\
      4d,00,61,00,78,00,55,00,73,00,65,00,73,00,3d,00,34,00,32,00,39,00,34,00,39,\
      00,36,00,37,00,32,00,39,00,35,00,00,00,50,00,61,00,74,00,68,00,3d,00,43,00,\
      3a,00,5c,00,00,00,50,00,65,00,72,00,6d,00,69,00,73,00,73,00,69,00,6f,00,6e,\
      00,73,00,3d,00,30,00,00,00,52,00,65,00,6d,00,61,00,72,00,6b,00,3d,00,00,00,\
      54,00,79,00,70,00,65,00,3d,00,30,00,00,00,00,00
     "d"=hex(7):43,00,53,00,43,00,46,00,6c,00,61,00,67,00,73,00,3d,00,30,00,00,00,\
      4d,00,61,00,78,00,55,00,73,00,65,00,73,00,3d,00,34,00,32,00,39,00,34,00,39,\
      00,36,00,37,00,32,00,39,00,35,00,00,00,50,00,61,00,74,00,68,00,3d,00,64,00,\
      3a,00,5c,00,00,00,50,00,65,00,72,00,6d,00,69,00,73,00,73,00,69,00,6f,00,6e,\
      00,73,00,3d,00,30,00,00,00,52,00,65,00,6d,00,61,00,72,00,6b,00,3d,00,64,00,\
      00,00,54,00,79,00,70,00,65,00,3d,00,30,00,00,00,00,00
     "e"=hex(7):43,00,53,00,43,00,46,00,6c,00,61,00,67,00,73,00,3d,00,30,00,00,00,\
      4d,00,61,00,78,00,55,00,73,00,65,00,73,00,3d,00,34,00,32,00,39,00,34,00,39,\
      00,36,00,37,00,32,00,39,00,35,00,00,00,50,00,61,00,74,00,68,00,3d,00,65,00,\
      3a,00,5c,00,00,00,50,00,65,00,72,00,6d,00,69,00,73,00,73,00,69,00,6f,00,6e,\
      00,73,00,3d,00,30,00,00,00,52,00,65,00,6d,00,61,00,72,00,6b,00,3d,00,65,00,\
      00,00,54,00,79,00,70,00,65,00,3d,00,30,00,00,00,00,00

Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:

Da:
L'indirizzo del mittente è falso.

A:
– Indirizzi email trovati in specifici file sul sistema.

Oggetto:
Il seguente:
   • CARTOON %stringa casuale di tre caratteri%

Corpo dell'email:
– Contiene codice HTML.
– Contengono un link ad un altro malware.

Il corpo dell’email è come il seguente:

   • CARTOON %stringa casuale di tre caratteri%
     The
     1 Site for: Cartoons, Hentai & Anime HORNY LITTLE TOONS
     EXCLUSIVE HENTAI CONTENT
     EROTIC ANIME MOVIES
     NEVER SEEN BEFORE CARTOON SLUTS
     JAPANESE MANGA TOONS

     ENTER CARTOON %stringa casuale di tre caratteri% HERE!!

     To unsubscribe click here "http://**********.net/remove/remove.php"


File allegato:
Il nome del file allegato viene estrapolato dai seguenti:

– Inizia con uno dei seguenti:
   • CARTOON_

Seguito da uno dei seguenti:
   • %stringa casuale di tre caratteri%

    L'estensione del file è una delle seguenti:
   • .exe

Qui ci sono alcuni esempi di come il nome del file allegato potrebbe presentarsi:
   • CARTOON_222.exe
   • CARTOON_021.exe

L’email si presenta come di seguito:

Invio di messaggi Cerca indirizzi:
Cerca il seguente file per gli indirizzi email:
• HTM

Varie Mutex:
Crea il seguente Mutex:
   • _NextPart_%03d_%04X_%08.8lX.%08.8lX

Condivisioni di rete:
Verranno create le seguenti condivisioni di rete:
   • C:\
   • D:\

Descrizione inserita da Catalin Jora su mercoledì 3 agosto 2005
Descrizione aggiornata da Catalin Jora su venerdì 19 agosto 2005

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti