Descrizione completa

Nome del virus:	Worm/Guap.D.1
Scoperto:	21/09/2005
Tipo:	Worm
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio-Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	57.344 Byte
Somma di controllo MD5:	029126210d7ada36a810bfc546bcfeff
Versione VDF:	6.32.0.33

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Symantec: W32.Allim
   • Mcafee: W32/Guap.worm
   • Kaspersky: IM-Worm.Win32.Guap.d
   • TrendMicro: WORM_GUAP.D
   • VirusBuster: Worm.P2P.VB.CII
   • Bitdefender: Win32.Worm.Denn.A

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Blocca l'accesso a siti web di sicurezza
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

File Si copia alla seguente posizione:
• %SYSDIR%\0penGLD.exe

Registro La seguente chiave di registro è aggiunta continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "OpenGL Drivers"="%SYSDIR%\0penGLD.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "OpenGL Drivers"="%SYSDIR%\0penGLD.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runservices]
   • "OpenGL Drivers"="%SYSDIR%\0penGLD.exe"

Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– AIM Messenger
– Windows Live Messenger
– Yahoo Messenger

A:
Tutti i dati immessi nella lista dei contatti.

Messaggio
Il messaggio inviato sarà tipo uno dei seguenti:

   • wow! me and my friends just got on my new webcam! come watch us: %link%

   • wow.. is this you? %link%

   • found your picture! is this you? %link%

   • haha, this girl got busted so bad.. %link%

   • lmao i cant stop laughing at this! %link%

   • omg... this doesn't look right at all!! %link%

   • this girl is crazy! go look at here - %link%

   • you have to take a look at this, tell me if you can open it - %link%

   • hey, you have to try this out... %link% - removes all the spyware and viruses

   • check this out: %link% - it's live and free

   • omg... i think i just found a pic of you, let me know - %link%

%link%
Mentre la wildcard è una delle seguenti:
   • http://**********.earthlink.net/~nkjdenny/Webcam.exe
   • http://**********.earthlink.net/~nkjdenny/IMS.exe
   • http://**********.earthlink.net/~nkjdneny/RegistryFix.exe

L'URL si riferisce così a una copia del malware descritto. Se l'utente scarica ed esegue questo file, il processo virale ricomincia di nuovo.

Host L'host del file viene modificato come spiegato:

– L'accesso ai seguenti domini è effettivamente bloccato:
   • www.symantec.com; symantec.com; securityresponse.symantec.com;
      sarc.com; www.sarc.com; www.sophos.com; sophos.com; www.mcafee.com;
      mcafee.com; liveupdate.symantecliveupdate.com; www.viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; f-prot.com;
      www.f-prot.com; kaspersky.com; kaspersky-labs.com; www.avp.com;
      avp.com; www.kaspersky.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      vil.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.trendmicro.com; housecall.trendmicro.com;
      pandasoftware.com; www.pandasoftware.com; free.grisoft.com;
      www.grisoft.com; grisoft.com; clamav.net; www.clamav.net; free-av.com;
      www.free-av.com; www.avast.com; avast.com; cert.org; www.cert.org;
      www.microsoft.com; microsoft.com; www.virustotal.com; virustotal.com;
      update.microsoft.com; windowsupdate.microsoft.com

L'host del file modificato sarà del tipo:

Processi terminati I seguenti servizi vengono disattivati:
• sharedaccess
• wuauserv

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.

Descrizione inserita da Razvan Olteanu su venerdì 23 settembre 2005
Descrizione aggiornata da Razvan Olteanu su lunedì 3 ottobre 2005

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti