Nome del virus:Worm/Tutiam.A
Scoperto:24/07/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:143.360 Byte
Somma di controllo MD5:9f2b1ee9a59f56a91a0Ca7b25458e589
Versione VDF:6.35.00.180
Versione IVDF:6.35.00.220

 Generale Metodi di propagazione:
   • Email
   • Rete locale


Alias:
   •  Symantec: W32.Miti@mm
   •  Kaspersky: IRC-Worm.Win32.Tutiam.a
   •  TrendMicro: WORM_TUTIAM.A
   •  VirusBuster: Worm.Tutiam.A
   •  Bitdefender: Dropped:Win32.Worm.Tamiami.A


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Clona un file “maligno”
   • Modifica del registro


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alle seguenti posizioni:
   • %WINDIR%\strangler.exe
   • %WINDIR%\Tamiami.wrd
   • %WINDIR%\tamweb\Pictures.exe



Crea le seguenti directory:
   • %WINDIR%\tammail
   • %WINDIR%\tamweb



Una sezione viene aggiunta a un file.
– A: %unità disco%:\*.zip Con i seguenti contenuti:
   • SourceCode.exe
     Addons_ENG.exe
     Pictures.exe
     Licence.exe
     ReadMe.exe
     Install.exe
     Quellcode.exe
     Addons.exe
     Bilder.exe
     Lizenz.exe
     LiesMich.exe
     Installation.exe
     (%file eseguiti%)




Vengono creati i seguenti file:

%WINDIR%\tamver.sys
%WINDIR%\Tamiami.vbs
%WINDIR%\tamweb\index.htm Riconosciuto come: Worm/Tamiami.A

%WINDIR%\Tamiami.mrc

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Tamiami"="%WINDIR%\strangler.exe"



Viene aggiunta la seguente chiave di registro:

– [HKCU\Identities\%dipendente dal sistema%\Software\Microsoft\
   Outlook Express\5.0\Mail]
   • "Warn on Mapi Send"=dword:00000000



Vengono cambiate le seguenti chiavi di registro:

Disattiva il firewall di Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Nuovo valore:
   • "Start"=dword:00000004

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: irc.quake**********
Porta: 6667
Password del server: %stringa casuale di otto caratteri%
Canale: #tamiami
Nickname: %stringa casuale di otto caratteri%
Password: strangler

Server: quakenet.under**********
Porta: 6667
Password del server: %stringa casuale di otto caratteri%
Canale: #tamiami
Nickname: %stringa casuale di otto caratteri%
Password: strangler

Server: irc.efn**********
Porta: 6667
Password del server: %stringa casuale di otto caratteri%
Canale: #tamiami
Nickname: %stringa casuale di otto caratteri%
Password: strangler

Server: icr.under**********
Porta: 6667
Password del server: %stringa casuale di otto caratteri%
Canale: #tamiami
Nickname: %stringa casuale di otto caratteri%
Password: strangler

Server: eu.under**********
Porta: 6667
Password del server: %stringa casuale di otto caratteri%
Canale: #tamiami
Nickname: %stringa casuale di otto caratteri%
Password: strangler

Server: us.under**********
Porta: 6667
Password del server: %stringa casuale di otto caratteri%
Canale: #tamiami
Nickname: %stringa casuale di otto caratteri%
Password: strangler

Server: port80c.se.quake**********
Porta: 6667
Password del server: %stringa casuale di otto caratteri%
Canale: #tamiami
Nickname: %stringa casuale di otto caratteri%
Password: strangler


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • disconnettere dal server IRC
    • Connettersi al canale IRC
    • Iniziare procedura di diffusione

 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • http://update.microsoft.com


Mutex:
Crea il seguente Mutex:
   • Worm.Tamiami v1.3.2 by DiA/RRLF

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Monica Ghitun su lunedì 24 luglio 2006
Descrizione aggiornata da Andrei Ivanes su lunedì 27 novembre 2006

Indietro . . . .