Nome del virus:Worm/Fontra.C
Scoperto:09/02/2007
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:No
Dimensione del file:~400.000 Byte
Versione VDF:6.37.01.61 - venerdì 9 febbraio 2007
Versione IVDF:6.37.01.61 - venerdì 9 febbraio 2007

 Generale Metodo di propagazione:
   • Peer to Peer


Alias:
   •  Mcafee: W32/Vbbot
   •  Kaspersky: Virus.Win32.Fontra.c
   •  F-Secure: Virus.Win32.Fontra.c
   •  Sophos: W32/Fontra-F
   •  Grisoft: Worm/Delf.ATB
   •  Eset: Win32/VB.NJQ

Precedentemente individuato come:
   •  TR/Dldr.Fontra.C.1


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Clona un file “maligno”


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alle seguenti posizioni:
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\dllhost.exe
   • %PROGRAM FILES%\setup.exe
   • %PROGRAM FILES%\Track_03.exe
   • %PROGRAM FILES%\Video.exe



Copia se stesso dentro archivi nelle seguenti posizioni:
   • %PROGRAM FILES%\a.zip
   • %PROGRAM FILES%\b.zip
   • %PROGRAM FILES%\c.zip



Crea le seguenti directory:
   • %cartella condivisa di BearShare%\_
   • %cartella condivisa di LimeWire%\_
   • %cartella condivisa di Morpheus%\_
   • %cartella condivisa di Shareaza%\_



Vengono creati i seguenti file:

– File “non maligni”:
   • %PROGRAM FILES%\A.ico
   • %PROGRAM FILES%\B.ico
   • %SYSDIR%\vbzip10.dll

%PROGRAM FILES%\uy.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Fontra.C.2




Prova ad eseguire i seguenti file:

– Nome del file:
   • %PROGRAM FILES%\bearshare\bearshare.exe


– Nome del file:
   • %PROGRAM FILES%\limewire\limewire.exe


– Nome del file:
   • %PROGRAM FILES%\morpheus\morpheus.exe


– Nome del file:
   • %PROGRAM FILES%\shareaza\shareaza.exe

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:


Cerca le seguenti directory:
   • %cartella condivisa di BearShare%\_
   • %cartella condivisa di LimeWire%\_
   • %cartella condivisa di Morpheus%\_
   • %cartella condivisa di Shareaza%\_

   Se riuscito, il seguente file viene creato:
   • %stringa di caratteri casuale%.zip

   L'archivio contiene al suo interno una copia del malware.



La directory condivisa potrebbe presentarsi come la seguente:


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.

Descrizione inserita da Andrei Gherman su mercoledì 28 marzo 2007
Descrizione aggiornata da Andrei Gherman su mercoledì 28 marzo 2007

Indietro . . . .