Nome del virus:Worm/Tearec.A
Scoperto:12/10/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:94.154 Byte
Somma di controllo MD5:1c237c5af9c4c344eaac451b2ef5459c
Versione VDF:6.36.00.97
Versione IVDF:6.36.00.113 - lunedì 16 ottobre 2006

 Generale Metodi di propagazione:
   • Email
   • Rete locale


Alias:
   •  Kaspersky: Email-Worm.Win32.Nyxem.e
   •  TrendMicro: WORM_NYXEM.AA
   •  F-Secure: Email-Worm.Win32.Nyxem.e
   •  Sophos: W32/Nyxem-H
   •  Panda: W32/Tearec.B.worm
   •  Eset: Win32/Nyxem.NAA worm
   •  Bitdefender: Win32.Nyxem.H@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alle seguenti posizioni:
   • %WINDIR%\Rundll16.exe
   • %SYSDIR%\scanregw.exe
   • C:\WINZIP_TMP.exe
   • %SYSDIR%\Update.exe
   • %SYSDIR%\Winzip.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe



Sovrascrive i seguenti file.
La sincronizzazione incorporata dell'ora avrà inizio al seguente istante temporale: Se il giorno è uguale a: 3

%tutte le directory%

Estensioni del file:
   • .HTM
   • .DBX
   • .EML
   • .MSG
   • .OFT
   • .NWS
   • .VCF
   • .MBX

Con i seguenti contenuti:
   • DATA Error [47 0F 94 93 F4 K5]




Cancella i seguenti file:
   • %PROGRAM FILES%\DAP\*.dll
   • %PROGRAM FILES%\BearShare\*.dll
   • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
   • %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
   • %PROGRAM FILES%\Norton AntiVirus\*.exe
   • %PROGRAM FILES%\Alwil Software\Avast4\*.exe
   • %PROGRAM FILES%\McAfee.com\VSO\*.exe
   • %PROGRAM FILES%\McAfee.com\Agent\*.*
   • %PROGRAM FILES%\McAfee.com\shared\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
   • %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
   • %PROGRAM FILES%\NavNT\*.exe
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
   • %PROGRAM FILES%\Grisoft\AVG7\*.dll
   • %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
   • %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
   • %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
   • %PROGRAM FILES%\Morpheus\*.dll
   • %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
   • %PROGRAM FILES%\Common Files\symantec shared\*.*
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
   • %PROGRAM FILES%\McAfee.com\Agent\*.*
   • %PROGRAM FILES%\McAfee.com\shared\*.*
   • %PROGRAM FILES%\McAfee.com\VSO\*.*
   • %PROGRAM FILES%\NavNT\*.*
   • %PROGRAM FILES%\Norton AntiVirus\*.*
   • %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
   • %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
   • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
   • %PROGRAM FILES%\Trend Micro\Internet Security\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ScanRegistry = "scanregw.exe /scan"



I valori delle seguenti chiavi di registro vengono rimossi:

–  HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • CleanUp
   • SECUR
   • NPROTECT
   • ccApp
   • ScriptBlocking
   • MCUpdateExe
   • VirusScan Online
   • MCAgentExe
   • VSOCheckTask
   • McRegWiz
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • McVsRte
   • PCClient.exe
   • PCCIOMON.exe
   • pccguide.exe
   • Pop3trap.exe
   • PccPfw
   • tmproxy
   • McAfeeVirusScanService
   • NAV Agent
   • PCCClient.exe
   • SSDPSRV
   • rtvscn95
   • defwatch
   • vptray
   • ScanInicio
   • APVXDWIN
   • KAVPersonal50
   • kaspersky
   • TM Outbreak Agent
   • AVG7_Run
   • AVG_CC
   • Avgserv9.exe
   • AVGW
   • AVG7_CC
   • AVG7_EMC
   • Vet Alert
   • VetTray
   • OfficeScanNT Monitor
   • avast!
   • PANDA
   • DownloadAccelerator
   • BearShare

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • CleanUp
   • SECUR
   • NPROTECT
   • ccApp
   • ScriptBlocking
   • MCUpdateExe
   • VirusScan Online
   • MCAgentExe
   • VSOCheckTask
   • McRegWiz
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • McVsRte
   • PCClient.exe
   • PCCIOMON.exe
   • pccguide.exe
   • Pop3trap.exe
   • PccPfw
   • tmproxy
   • McAfeeVirusScanService
   • NAV Agent
   • PCCClient.exe
   • SSDPSRV
   • rtvscn95
   • defwatch
   • vptray
   • ScanInicio
   • APVXDWIN
   • KAVPersonal50
   • kaspersky
   • TM Outbreak Agent
   • AVG7_Run
   • AVG_CC
   • Avgserv9.exe
   • AVGW
   • AVG7_CC
   • AVG7_EMC
   • Vet Alert
   • VetTray
   • OfficeScanNT Monitor
   • avast!
   • PANDA
   • DownloadAccelerator
   • BearShare



Le seguenti chiavi di registro che includono tutti i valori e le sottochiavi, vengono rimosse:
   • Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
   • SOFTWARE\Symantec\InstalledApps
   • SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
   • SOFTWARE\KasperskyLab\Components\101
   • SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
   • SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum



Vengono cambiate le seguenti chiavi di registro:

Varie opzioni di Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Nuovo valore:
   • "WebView"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

Varie opzioni di Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Nuovo valore:
   • "FullPath" = dword:00000001

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
–Indirizzi email raccolti da Yahoo! Messenger
–Indirizzi email raccolti da MSN Messenger


Oggetto:
Uno dei seguenti:
   • Word file; eBook.pdf; the file; Part 1 of 6 Video clipe; You Must View
      This Videoclip!; Miss Lebanon 2006; Re: Sex Video; My photos; The Best
      Videoclip Ever; School girl fantasies gone bad; A Great Video; Fuckin
      Kama Sutra pics; Arab sex DSC-00465.jpg; give me a kiss; *Hot Movie*;
      Fw: Funny :); Fwd: Photo; Fwd: image.jpg; Fw: Sexy; Re:; Fw:; Fw:
      Picturs; Fw: DSC-00465.jpg

In alcuni casi l'oggetto può anche essere vuoto.


Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:
   • ----- forwarded message -----
   • ???????????????????????????? ????????????? ?????? ???????????
   • >> forwarded message
   • DSC-00465.jpg DSC-00466.jpg DSC-00467.jpg
   • forwarded message attached.
   • Fuckin Kama Sutra pics
   • hello, i send the file. bye
   • hi i send the details bye
   • Hot XXX Yahoo Groups
   • how are you? i send the details. OK ?
   • i attached the details. Thank you
   • i just any one see my photos. It's Free :)
   • Note: forwarded message attached.
   • photo photo2 photo3
   • Please see the file.
   • ready to be FUCKED :)
   • VIDEOS! FREE! (US$ 0,00)
   • What?


File allegato:
Il nome del file allegato è uno dei seguenti:
   • 007.pif; 04.pif; 392315089702606E-02,.scR; 677.pif; Adults_9,zip.sCR;
      Arab sex DSC-00465.jpg; ATT01.zip.sCR; Attachments[001],B64.sCr;
      Clipe,zip.sCr; document.pif; DSC-00465.Pif; DSC-00465.pIf;
      DSC-00465.Pif; DSC-00465.pIf; eBook.pdf; eBook.PIF; image04.pif;
      image04.pif; New Video,zip; New_Document_file.pif; photo.pif;
      Photos,zip.sCR; School.pif; SeX,zip.scR; Sex.mim; Video_part.mim;
      WinZip,zip.scR; WinZip.BHX; WinZip.zip.sCR; Word XP.zip.sCR;
      Word.zip.sCR

L'allegato è una copia del malware stesso.

 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • *.doc; *.xls; *.mdb; *.mde; *.ppt; *.pps; *.zip; *.rar; *.pdf; *.psd;
      *.dmp


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • SYMANTEC; KASPERSKY; VIRUS; MCAFEE; TREND MICRO; PANDA; NORTON; FIX;
      HOTMAIL.COM; HELO; SECUR; SCRIBE; SPAM; ANTI; CILLIN; CA.COM; KASPER;
      TRUST; AVG; GROUPS.MSN; NOMAIL.YAHOO.COM; EEYE; MICROSOFT; @HOTMAIL;
      gmail.com; myway.com; @HOTPOP; @YAHOOGROUPS; @yahoo.com


Risoluzione dei nomi (DNS):
Ha la capacità di contattare il server DNS:
   • ns1.%nome a dominio del ricevente dall'indirizzo email%

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
   • ADMIN$
   • C$


Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

– Il seguente Nome Utente:
   • administrator



Esecuzione remota:
–Tenta di pianificare una esecuzione remota del malware, sulla macchina “infettata” recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 Processi terminati I processi che contengono uno dei seguenti “titolo finestra” vengono terminati:
   • SYMANTEC
   • SCAN
   • KASPERSKY
   • VIRUS
   • MCAFEE
   • TREND MICRO
   • NORTON
   • REMOVAL
   • FIX


 Backdoor Contatta il server:
Il seguente:
   • http://webstats.web.rcn.net/**********?df=778247

Come risultato può inviare alcune informazioni. Questo è fatto tramite il metodo HTTP POST utilizzando uno script CGI.


Invia informazioni riguardanti:
    • Stato corrente del malware

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Alexandru Dinu su mercoledì 14 novembre 2007
Descrizione aggiornata da Alexandru Dinu su venerdì 16 novembre 2007

Indietro . . . .