Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Rays
Scoperto:03/02/2004
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:49.152 Byte
Somma di controllo MD5:e8d54b8ac74c2982fad37567b3bd1ced
Versione VDF:6.24.00.34

 Generale Metodi di propagazione:
   • Email
   • Rete locale


Alias:
   •  Symantec: W32.Wullik@mm
   •  Kaspersky: Email-Worm.Win32.Wukill
   •  TrendMicro: WORM_WUKILL.B
   •  Sophos: W32/Wukill-B
   •  Grisoft: I-Worm/Wukill.B
   •  VirusBuster: virus I-Worm.Wukill.B
   •  Bitdefender: Win32.Rays.A@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alle seguenti posizioni:
   • %WINDIR%\system\%stringa di caratteri casuale%.exe
   • %WINDIR%\web\%stringa di caratteri casuale%.exe
   • %WINDIR%\fonts\%stringa di caratteri casuale%.exe
   • %WINDIR%\temp\%stringa di caratteri casuale%.exe
   • %WINDIR%\help\%stringa di caratteri casuale%.exe
   • %unità disco%:\winfile.exe
   • %directory corrente%\%nome della directory corrente%.exe



Fa copie di se stesso utilizzando un nome file dalle liste
– A: c:\windows Utilizzando uno dei seguenti nomi:
   • Mstray.exe
   • MsHelp.exe




Vengono creati i seguenti file:

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %TEMPDIR%\~%numero esadecimale%.tmp

%unità disco%:\desktop.ini Questo è un file di testo “non maligno” con il seguente contenuto:
   • [.ShellClassInfo]
     HTMLInfoTipFile=file://Comment.htt
     ConfirmFileOp = 0

%unità disco%:\comment.htt Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: VBS/Starter.B

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "RavTimeXP"="%directory di esecuzione del malware%\%file eseguiti%"
   • "RavTimXP"="%directory di esecuzione del malware%\%file eseguiti%"



Il valore della seguente chiave di registro viene rimosso:

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "RavTimXP"="%directory di esecuzione del malware%\%file eseguiti%"



Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valore precedente:
   • "Hidden"=%impostazioni definite dell'utente%
   • "HideFileExt"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Valore precedente:
   • "fullpath" = %impostazioni definite dell'utente%
   Nuovo valore:
   • "fullpath" = dword:00000001

 Email Usa Microsoft Outlook per inviare le email. Le caratteristiche sono descritte sotto:


Da:
L’indirizzo del mittente è l'account Outlook dell'utente.


A:
– Indirizzi email raccolti da WAB (Windows Address Book)


Oggetto:
Il seguente:
   • MS-DOS????



Corpo dell'email:
– Contiene codice HTML.
Il corpo dell’email è come il seguente:

   • 这是一款相当好的MS—DOS帮助文件。
     看看吧,对你有好处的。


File allegato:
Il nome del file allegato è:
   • MShelp.EXE

L'allegato è una copia del malware stesso.



L’email si presenta come di seguito:


 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa una copia di se stesso nella seguente condivisione di rete:
   • %directory corrente%

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.

Descrizione inserita da Daniel Constantin su lunedì 13 marzo 2006
Descrizione aggiornata da Andrei Gherman su venerdì 24 aprile 2009

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.