Nome del virus:Worm/Deborm.Q.1
Scoperto:08/08/2005
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:56.320 Byte
Somma di controllo MD5:82d72bbfbfbf98a60ebc2232e201b6d9
Versione VDF:6.19.0.13

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Symantec: W32.HLLW.Nebiwo
   •  Mcafee: W32/Deborm.worm
   •  Kaspersky: W32/Deborm.Q
   •  TrendMicro: WORM_DEBORM.Q
   •  F-Secure: W32/Deborm.Q
   •  Sophos: W32/Deborm-Q
   •  Panda: W32/Deborm.Q
   •  Grisoft: TrojanDropper.Newbiwo
   •  VirusBuster: Worm.Win32.Deborm.Q1
   •  Bitdefender: Win32.Worm.Deborm.A


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

 File Vengono creati i seguenti file:

%TEMPDIR%\~%stringa casuale di due caratteri%.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Deborm.Q.3

%TEMPDIR%\~%stringa casuale di due caratteri%.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Deborm.R.3

 Registro La seguente chiave di registro è aggiunta continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NAV Live Update"="%directory di esecuzione del malware%\%file eseguiti%"

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
   • %WINDIR%\Profiles\All Users\Start Menu\Programs\Startup
   • c:\windows\Start Menu\Programs\Startup
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup
   • \WINNT\Profiles\All Users\Start Menu\Programs\Startup
   • \WINDOWS\Start Menu\Programs\Startup
   • \Documents and Settings\All Users\Start Menu\Programs\Startup


Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

– La seguente lista di Nomi Utente:
   • Administrator
   • Guest
   • Owner



Exploit:
Sfrutta la seguente vulnerabilità:
– MS05-039 (Vulnerability in Plug and Play)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi due ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.


Rallentamento:
– Crea il seguente numero di thread “infetti”: 100
– In funzione della larghezza di banda potrebbe determinarsi un rallentamento nella velocità della rete. Se il livello di attività di rete per questo malware risulta alto, si potrebbe notare anche se la connessione di rete è a banda larga.
– A causa dei multipli thread di rete creati, un computer “infetto” diventa una macchina lenta e a mala pena utilizzabile.


Esecuzione remota:
–Tenta di pianificare una esecuzione remota del malware, sulla macchina “infettata” recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Victor Tone su lunedì 8 agosto 2005
Descrizione aggiornata da Oliver Auerbach su venerdì 26 agosto 2005

Indietro . . . .