Nome del virus:Worm/BackNine
Scoperto:09/03/2007
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Alto
File statico:Si
Dimensione del file:20.992 Byte
Somma di controllo MD5:000B5aea832ad9e266b0abe8ac0B757e
Versione VDF:6.38.00.23 - venerdì 9 marzo 2007
Versione IVDF:6.38.00.23 - venerdì 9 marzo 2007

 Generale Alias:
   •  Kaspersky: Trojan.Win32.Crypt.ab
   •  F-Secure: Trojan.Win32.Crypt.ab
   •  Bitdefender: Trojan.Ransom.B


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Giusto dopo l'esecuzione, avvia un'applicazione Windows che visualizzerà la seguente finestra:


 File Si copia alle seguenti posizioni:
   • %SYSDIR%\recovery.exe
   • %SYSDIR%\kkk.exe


Crittografia:
Crea dei nuovi file che sono copie crittografate dei file trovati.

Viene ricercata la seguente directory:
   • %tutte le directory%

Il nome file dell'archivio è lo stesso del file originale limitato con l'estensione dell'archivio.

Il nome file dell'archivio è il seguente:
   • *.rwg



Viene creato il seguente file:

%SYSDIR%\RansomWar.txt Questo è un file di testo “non maligno” con il seguente contenuto:
   • Dear user,
      some of your files have been encrypted using a quite strong system.
     Now you are scared but I will not ask you for money.
     If you want to get back your files you can do following:
     1) Contact a good antivirus-company that will decrypt them for you
     2) You can send an email to **********@yahoo.com requesting a decryptor program
     3) You can launch your PC trought the window or use a better OS (like linux) :)
     
      RansomWar by [WarGame,eof]

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • run = %SYSDIR%\recovery.exe

 Email Utilizza il Messaging Application Programming Interface (MAPI) per inviare una risposta alle email contenute nella “InBox”. Le caratteristiche sono ulteriormente descritte:


Da:
L’indirizzo del mittente è l'account Outlook dell'utente.


Design dell'email:



Oggetto: You are a very lucky man, read this mail!
Corpo della mail:
   • Hi, you won a big amount of money!!! If you want to know more look at the attachment!
Allegato:
   • BigCashForYou.exe



L’email si presenta come di seguito:


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Gherman su martedì 15 maggio 2007
Descrizione aggiornata da Andrei Gherman su martedì 15 maggio 2007

Indietro . . . .