Nome del virus:Worm/Harwig.C
Scoperto:30/08/2005
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Basso
File statico:Si
Dimensione del file:101,446 Byte
Somma di controllo MD5:070bf77be2f7361d4d52a5a646ae420d
Versione VDF:6.30.0.222

 Generale Metodo di propagazione:
   • Messenger


Alias:
   •  Symantec: W32.Kelvir
   •  Mcafee: W32/Harwig.worm.gen.ba
   •  Kaspersky: IM-Worm.Win32.Harwig.a
   •  TrendMicro: WORM_HARWIG.A
   •  Sophos: W32/Harwig-C
   •  Bitdefender: Worm.Harwig.A


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Blocca l'accesso a certi siti web
   • Clona un file “maligno”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %WINDIR%\abcdefg.exe



Viene creato il seguente file:

%WINDIR%\AST.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/RBot.72262

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "FILE"="c:\windows\\abcdefg.exe"



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\MSNMessenger]
   • "Server"="messenger.hotmail.com;127.0.0.1:1863"

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– Windows Live Messenger


Messaggio
Il messaggio inviato è tipo il seguente:

   • It is you on that picture right?
     Here check it %link%
     OMG! LOL ... Some people put a picture of you online :P, did u know that???


%link%
Mentre la wildcard è la seguente:
   • http://www.**********database.info/ugly/picture40328.PIF

 Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti non vengono modificati.

– L'accesso al seguente dominio è effettivamente bloccato:
   • messenger.hotmail.com




L'host del file modificato sarà del tipo:


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • Morphine 1.4 - 2.7

Descrizione inserita da Iulia Diaconescu su mercoledì 31 agosto 2005
Descrizione aggiornata da Iulia Diaconescu su lunedì 19 settembre 2005

Indietro . . . .