Nome del virus:Worm/Winko.I
Scoperto:22/10/2007
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:No
Dimensione del file:~17.000 Byte
Versione IVDF:7.00.00.117 - lunedì 22 ottobre 2007

 Generale Metodo di propagazione:
   • Unità di rete mappata


Alias:
   •  Kaspersky: Worm.Win32.AutoRun.cxp
   •  F-Secure: Worm:W32/AutoRun.CX
   •  Grisoft: Downloader.Small.BYN
   •  Eset: Win32/TrojanDownloader.Flux.AC
   •  Bitdefender: Win32.Worm.Winko.I

Individuazione simile:
   •  Worm/Winko.I.%numero%


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file
   • Clona un file “maligno”
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\%molte cifre casuali%.EXE
   • %unità disco%\auto.exe



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

%SYSDIR%\C%molte cifre casuali%.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Autorun.CA




Prova a scaricare un file:

– La posizione è la seguente:
   • http://33.xingaide8.cn/**********/update.txt
Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %stringa di caratteri casuale%]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\%molte cifre casuali%.EXE -k
   • DisplayName = %stringa di caratteri casuale%
   • ObjectName = LocalSystem
   • Description = C%molte cifre casuali%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %stringa di caratteri casuale%\Security]
   • Security = %valori esadecimali%



La seguente chiave di registro che include tutti i valori e le sottochiavi, viene rimossa:
   • [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuovo valore:
   • CheckedValue = 0

– [HKLM\SOFTWARE\Microsoft\Windows NT]
   Nuovo valore:
   • ReportBootOk= 1

– [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
   Nuovo valore:
   • DoReport = 0
   • ShowUI = 0

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\C%molte cifre casuali%.dll

    Tutti i seguenti processi:
   • explorer.exe
   • winlogon.exe
   • %tutti i processi in esecuzione%

   Se riuscito, il processo malware viene terminato mentre la parte inserita rimane attiva.

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • Upack

Descrizione inserita da Andrei Gherman su lunedì 16 giugno 2008
Descrizione aggiornata da Andrei Gherman su giovedì 19 giugno 2008

Indietro . . . .