Nume:Worm/Fontra.C
Descoperit pe data de:09/02/2007
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Nu
Marime:~400.000 Bytes
Versiune VDF:6.37.01.61 - venerdì 9 febbraio 2007
Versiune IVDF:6.37.01.61 - venerdì 9 febbraio 2007

 General Metoda de raspandire:
   • Peer to Peer


Alias:
   •  Mcafee: W32/Vbbot
   •  Kaspersky: Virus.Win32.Fontra.c
   •  F-Secure: Virus.Win32.Fontra.c
   •  Sophos: W32/Fontra-F
   •  Grisoft: Worm/Delf.ATB
   •  Eset: Win32/VB.NJQ

Initial identificat ca:
   •  TR/Dldr.Fontra.C.1


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Creeaza un fisier malware


Imediat dupa lansarea in executie, pe ecran este afisat:


 Fisiere Se copiaza in urmatoarele locatii:
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\dllhost.exe
   • %PROGRAM FILES%\setup.exe
   • %PROGRAM FILES%\Track_03.exe
   • %PROGRAM FILES%\Video.exe



Se copiaza intr-o arhiva in urmatoarele locatii:
   • %PROGRAM FILES%\a.zip
   • %PROGRAM FILES%\b.zip
   • %PROGRAM FILES%\c.zip



Creeaza urmatoarele directoare:
   • %director partajat in BearShare%\_
   • %director partajat in LimeWire%\_
   • %director partajat in Morpheus%\_
   • %director partajat in Shareaza%\_



Sunt create fisierele:

– Fisiere inofensive:
   • %PROGRAM FILES%\A.ico
   • %PROGRAM FILES%\B.ico
   • %SYSDIR%\vbzip10.dll

– %PROGRAM FILES%\uy.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Fontra.C.2




Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • %PROGRAM FILES%\bearshare\bearshare.exe


– Numele fisierului:
   • %PROGRAM FILES%\limewire\limewire.exe


– Numele fisierului:
   • %PROGRAM FILES%\morpheus\morpheus.exe


– Numele fisierului:
   • %PROGRAM FILES%\shareaza\shareaza.exe

 P2P  Pentru a infecta alte sisteme din retele Peer-to-Peer, efectueaza urmatarele operatii:  


Cauta urmatoarele directoare:
   • %director partajat in BearShare%\_
   • %director partajat in LimeWire%\_
   • %director partajat in Morpheus%\_
   • %director partajat in Shareaza%\_

   Daca reuseste, este creat urmatorul fisier:
   • %combinatie de caractere aleatoare%.zip

   Arhiva contine o copie a malware-ului



Directorul partajat poate arata astfel:


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.

Descrizione inserita da Andrei Gherman su mercoledì 28 marzo 2007
Descrizione aggiornata da Andrei Gherman su mercoledì 28 marzo 2007

Indietro . . . .