Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Darby.O
Scoperto:13/12/2012
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:140.470 Byte
Somma di controllo MD5:c7a286a790fcb6b93264b2cc26522cf3
Versione VDF:7.11.53.216

 Generale Metodi di propagazione:
   • Email
   • Rete locale
   • Peer to Peer


Alias:
   •  Symantec: W32.Darby.B
   •  Kaspersky: P2P-Worm.Win32.Darby.o
   •  TrendMicro: WORM_DARBY.O
   •  Sophos: W32/Darby-O
   •  Grisoft: Worm/Darby.S
   •  VirusBuster: Worm.P2P.Darby.Q
   •  Bitdefender: Win32.Worm.P2P.Darby.O


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Fa copie di se stesso utilizzando un nome file dalle liste
A: %SYSDIR%\ Utilizzando uno dei seguenti nomi:
   • %stringa di caratteri casuale%.exe
   • %stringa di caratteri casuale%.bat
   • %stringa di caratteri casuale%.cmd
   • %stringa di caratteri casuale%.scr




Vengono creati i seguenti file:

File non maligni:
   • %SYSDIR%\bZip.exe
   • c:\bardiel.hta

– Un file che contiene gli indirizzi email recuperati:
   • %TEMPDIR%\mail.dat

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • %stringa di caratteri casuale%=%SYSDIR%\%stringa di caratteri casuale%



Vengono aggiunte le seguenti chiavi di registro:

HKLM\Software\GedzacLABS\Bardiel.d
   • "Parent" = "%SYSDIR%\%stringa di caratteri casuale%
   • "Sey3" = "%stringa di caratteri casuale%)%stringa di caratteri casuale%"
   • "Sey2" = "%stringa di caratteri casuale%)%stringa di caratteri casuale%"
   • "Sey1" = "%stringa di caratteri casuale%)%stringa di caratteri casuale%"

HKLM\Software\Microsoft\Active Setup\Installed Components\Bardiel
   • "StubPath" = "%SYSDIR%\%stringa di caratteri casuale%

HKLM\SYSTEM\CurrentControlSet\Services\GEDZAC LABS
   • "ImagePath" = "%SYSDIR%\%stringa di caratteri casuale%"
   • "DisplayName" = "GEDZAC Service"
   • "ObjectName" = "LocalSystem"
   • "ErrorControl" = dword:00000001
   • "Start" = dword:00000002
   • "Description" = "GEDZAC Service for W32.Bardiel.D"
   • "Type" = dword:00000010

Disattiva il Regedit e il Task Manager:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Valore precedente:
   • "Shell" = "%impostazioni definite dell'utente%"
   Nuovo valore:
   • "Shell" = "Explorer.exe %SYSDIR%\%stringa di caratteri casuale%"

Disattiva il Regedit e il Task Manager:
HKCR\regfile\shell\open\command
   Valore precedente:
   • "@" = "%impostazioni definite dell'utente%"
   Nuovo valore:
   • "@" = "GDC"

HKLM\Software\Microsoft\Windows Scripting Host\Settings
   Valore precedente:
   • "Timeout" = dword:00000000
   Nuovo valore:
   • "Timeout" = dword:00000000

HKLM\Software\Microsoft\Windows Script Host\Settings
   Valore precedente:
   • "Timeout" = dword:00000000
   Nuovo valore:
   • "Timeout" = dword:00000000

HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Policies\System
   Valore precedente:
   • "DisableTaskMgr" = %impostazioni definite dell'utente%
   • "DisableRegistryTools" = %impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableTaskMgr" = dword:00000001
   • "DisableRegistryTools" = dword:00000001

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Valore precedente:
   • "DisableTaskMgr" = %impostazioni definite dell'utente%
   • "DisableRegistryTools" = %impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableTaskMgr" = dword:00000001
   • "DisableRegistryTools" = dword:00000001

HKCR\exefile\shell\open\command\
   Valore precedente:
   • "@" = "%impostazioni definite dell'utente%"
   Nuovo valore:
   • "@" = "%SYSDIR%\%stringa di caratteri casuale%"%1" %*"

HKCR\batfile\shell\open\command\
   Valore precedente:
   • "@" = "%impostazioni definite dell'utente%"
   Nuovo valore:
   • "@" = "%SYSDIR%\%stringa di caratteri casuale%"%1" %*"

HKCR\comfile\shell\open\command\
   Valore precedente:
   • "@" = "%impostazioni definite dell'utente%"
   Nuovo valore:
   • "@" = "%SYSDIR%\%stringa di caratteri casuale%"%1" %*"

HKCR\piffile\shell\open\command\
   Valore precedente:
   • "@" = "%impostazioni definite dell'utente%"
   Nuovo valore:
   • "@" = "%SYSDIR%\%stringa di caratteri casuale%"%1" %*"

HKCR\scrfile\shell\open\command\
   Valore precedente:
   • "@" = "%impostazioni definite dell'utente%"
   Nuovo valore:
   • "@" = "%SYSDIR%\%stringa di caratteri casuale%"%1" %*"

 Email Contiene un motore SMTP integrato per inviare le email. Verr stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente falso.


A:
– Indirizzi email trovati in specifici file sul sistema.
 Indirizzi email raccolti da WAB (Windows Address Book)


Design delle email:



Oggetto: Mail Delivery Return System
Corpo della mail:
   • La informaci
     n no pudo ser enviada a uno o m
     s destinatarios
Allegato:
   • ReturnMsg.zip ReturnMsg



Oggetto: Hola %nome utente dall'indirizzo email del ricevente%
Corpo della mail:
   • Te envio la info que me pediste, responde que tal esta, bye
Allegati:
   • videoClip.zip
   • Tienes un Mensage %nome utente dall'indirizzo email del ricevente%



Oggetto: Sabes si te mienten?
Corpo della mail:
   • El lenguage corporal delata sutilmente la mentira, 5 tips para saber si te estan diciendo la verdad.
Allegati:
   • NoMentir.zip
   • NoMentir



Oggetto: Manual de Seduccion
Corpo della mail:
   • Quieres mejorar tu exito con el sexo opuesto, pos echale un ojo a este texto. que tiene utiles consejos
Allegati:
   • Seduc.zip
   • Arte de Seducir



Oggetto: tienes un Regalo Virtual
Corpo della mail:
   • Te han enviado un Regalo virtual, esta disponible durante 7 dias, descargalo o entra al link :)
Allegati:
   • Virtual0034.zip
   • %nome utente dall'indirizzo email del ricevente%



Oggetto: Gusanito.com
Corpo della mail:
   • Hay una targeta disponible para ti de parte de un amigo. descargala o entra al link :)
Allegati:
   • E-Card.zip
   • Targeta Virtua



Oggetto: Fotos en tu email
Corpo della mail:
   • XXX Todo Vale XXX
Allegati:
   • xImages.zip
   • Mirame ;)



Oggetto: Que hay detras de un beso
Corpo della mail:
   • Sabes que significa la forma de besar o que tipos y tecnicas existen, conocelas
Allegati:
   • beso.zip
   • Besos



Oggetto: Sexo Tantrico
Corpo della mail:
   • Tantra: antigua disciplina oriental para mejorar el desempe
Allegati:
   • Sex_Tantra.zip
   • Sexo Tantrico Images



Oggetto: No Adware
Corpo della mail:
   • Se te cambia la pagina de inicio?, te salen ventanas de publicidad, problemas con dialers, troyanos u otros adwares, prueba este programa gratis y acabemos con la lacra que es el Adware
Allegati:
   • CwshredderPlus.zip
   • Limpiar Pc



Oggetto: Hey
Corpo della mail:
   • mira la imagen 30 segundos y luego mira a otra parte y veras algo sorprendente (buena ilusion optica, casi alucinacion)
Allegati:
   • IlusionI.zip
   • Imagenes



Oggetto: Mira la foto
Corpo della mail:
   • Mira mi foto ;)
Allegati:
   • Photo.zip
   • Mi Album



Oggetto: Que significa tu nombre?
Corpo della mail:
   • Los nombres y los apellidos como toda palabra tienen un significado, el cual ya en la mayoria de veces o no recordamos, tal vez encuentres el significado del tuyo en nuestra base de datos :)
Allegati:
   • SigNombre.zip
   • Tu Nombre



Oggetto: Eres inteligente? ;)
Corpo della mail:
   • El Papa de rosa era un empleado en una compa
     ia de seguros, vivia modestamente, tenia una casa mediana, un auto no muy nuevo y un perro, pero lo que el queria m
     s eran sus 3 hijas: Ana, Ane y ...
     Como se llamaba su otra hija?
Allegati:
   • RptAcertijos.zip
   • Respuesta



Oggetto: Hack Hotmail
Corpo della mail:
   • Quisiste hackear una cuenta de hotmail alguna vez, entonces prueba esta tecnica, y lo bueno es que no se nesecita ser un Hacker para usarla.
Allegati:
   • HackHotmail.zip
   • HackHotmail



Oggetto: Respuesta para
Corpo della mail:
   • La respuesta a su pedido ha sido aprobada, con lo que se hace acreedor de las ventajas y descuentos de nuestro circulo, para mas detalles vea texto el adjunto.
Allegati:
   • Respuesta para %nome utente dall'indirizzo email del ricevente% .zip
   • Admin Page



Oggetto: Importante para
Corpo della mail:
   • Hola, no me conoces, pero te envio algo que te interesara, ojala te sea de utilidad, bye
Allegati:
   • _msg.zip
   • Mensage



Oggetto: Click en el adjunto y pon audifono :)
Corpo della mail:
   • Escuchate esta cancion, Carta a Santa Claus III ;)
Allegati:
   • FuckSanta.zip
   • Play Song



Oggetto: quieres saber cuan psicopata eres?
Corpo della mail:
   • Este es un test usado por el ejercito de estados unidos al reclutar soldados, para en palabras simples medir cuan propensos a la locura son, hacelo y ve cuan zafado estas.
Allegati:
   • TestRayado.zip
   • Test Aqui



Oggetto: Dibujitos (Esta Buenisimo)
Corpo della mail:
   • Mirate esto ;)
Allegati:
   • Dibujitos.zip
   • at the picture



Oggetto: Osama Ben Laden el hombre que le declaro la Guerra a Estados Unidos
Corpo della mail:
   • Que lo indujo a dejar una posible vida de lujos(es millonario), para embarcarse en una guerra santa contra USA, sabias que las familias de Bush y Osama se conocian, enterate de las verdaderas causas de su guerra aqui.
Allegati:
   • Osama.zip
   • Osama Web



Oggetto: PornStars Show
Corpo della mail:
   • Mira este scrensaver de las actrices del cine porno
Allegati:
   • PornStars.zip
   • PorStars All Access



Oggetto: Solo la pura verdad
Corpo della mail:
   • Asi es la vida :(
     e picture
     Solo la Pura Verdad
Allegato:
   • ZALIA.zip



Oggetto: 16 Fotos de las mejores conejitas de Playboy
Corpo della mail:
   • Las mejores fotos de PlayBoy de este a o, pasalas ;)
Allegati:
   • 16Playboy.zip
   • Planeta PlayBoy



Oggetto: Aviso Importante
Corpo della mail:
   • Debido a las reformas del servidor, se pide a los usuarios completar el nuevo registro a fin de validar sus cuentas y no sean suspendidas. Atentamente AdminSystem
Allegati:
   • Registro.zip
   • Nuevo Registro



Oggetto: Diez mandamientos del Amor y Sexo
Corpo della mail:
   • Mantener una relacion amorosa saludable y exitante exige mucho esfuerzo y muchas ganas, te damos estas 10 claves
Allegati:
   • 10Claves.zip
   • Amor y Sexo



Oggetto: Como Saber si le Gustas?
Corpo della mail:
   • Te mueres por esa persona, pero no sabes si decirle algo, porque capaz no te da bola, con este test puedes descubrir detalles que te indiquen que siente por ti :)
Allegati:
   • TestG.zip
   • My Page



Oggetto: 100% Ideal
Corpo della mail:
   • Participa en este rompecabezas, si se pudiera crear a la(el) Chica(o) Ideal escogiendo un rostro de aqui y una silueta de alla, como seria tu pareja Ideal?
Allegati:
   • Ideal.zip
   • 100% Ideal



Oggetto: Vision del Futuro
Corpo della mail:
   • TodO hA sIdO Dad0
Allegati:
   • TuFuturo.zip
   • Necromancia



Oggetto: Que Raro
Corpo della mail:
   • Miralo tu mismo
Allegati:
   • QueRaro.zip
   • Que Raro



Oggetto: Mail Delivery Return System
Corpo della mail:
   • The information could not be a correspondent to one or more addressees.
Allegati:
   • ReturnMsg.zip
   • ReturnMsg



Oggetto: Hello %nome utente dall'indirizzo email del ricevente%
Corpo della mail:
   • I ship You the info that you requested me, responds that such this, bye
Allegati:
   • videoClip.zip
   • you Have a Mensage



Oggetto: do you Know if they lie you?
Corpo della mail:
   • The corporal language accuses the lie subtly, 5 tips to know if they are telling you the truth.
Allegati:
   • Lie.zip
   • NotLie



Oggetto: Manual gives Seduction
Corpo della mail:
   • you Want to improve your success with the opposite sex, search keeps an eye on this text. that has useful advice.
Allegati:
   • Seduc.zip
   • Art gives to Seduce



Oggetto: %nome utente dall'indirizzo email del ricevente% you have a Virtual Gift
Corpo della mail:
   • they have sent You a virtual Gift, this available one during 7 days, discharge it or enters to the link:)
Allegati:
   • Virtual0034.zip
   • %nome utente dall'indirizzo email del ricevente%



Oggetto: Gusanito.com
Corpo della mail:
   • there is an available card for you on behalf of a friend. discharge it or enters to the link:)
Allegati:
   • EL-Card.zip
   • Virtual Card



Oggetto: Pictures in your email
Corpo della mail:
   • XXX All Voucher XXX
Allegati:
   • xImages.zip
   • you Look at me ;



Oggetto: That there is behind a kiss
Corpo della mail:
   • you Know that it means the form gives to kiss or that types and techniques exist, know them
Allegati:
   • Kiss.zip
   • Kisses



Oggetto: No Adware
Corpo della mail:
   • are you changed the it paginates beginning he/she gives?, do they leave you windows publicity he/she gives, problems with dialers, troyanos or other adwares, does it prove this program free and do let us put an end to the insensitive one that the Adware is.
Allegati:
   • CwshredderPlus.zip
   • to Clean Pc



Oggetto: Sex Tantrico
Corpo della mail:
   • Tantra: ancient discipline oriental to improve the sexual acting. Know it
Allegati:
   • Sex_Tantra.zip
   • Sex Tantrico Images



Oggetto: Hey %nome utente dall'indirizzo email del ricevente%
Corpo della mail:
   • %nome utente dall'indirizzo email del ricevente% he/she looks at the image 30 second and then he/she looks to another part and truth at something surprising (good optic illusion, almost hallucination)
Allegati:
   • IlusionI.zip
   • Images



Oggetto: %nome utente dall'indirizzo email del ricevente% Looks at the picture
Corpo della mail:
   • Looks at my picture;)
Allegati:
   • Ph0t0.zip
   • My Album



Oggetto: That means your name?
Corpo della mail:
   • The names and the last names like all word have a meaning, the one which already in most he/she gives times or we don't remember, perhaps find the meaning he/she gives yours in our database:)
Allegati:
   • SigName.zip
   • Your Name



Oggetto: are you intelligent? ;)
Corpo della mail:
   • The Father gives Sandra was an employee in an insurance company, lived modestly, tapeworm a medium house, a car very new no and a dog, but what the one wanted more they were its 3 daughters: Ana, Ane and... Like their other daughter was called?
Allegati:
   • Riddles
   • Answer



Oggetto: Hack Hotmail
Corpo della mail:
   • you Wanted hackear one it counts gives hotmail at some time, then test this technique, and the good thing is that no you need to be a Hacker to use it
Allegati:
   • HackHotmail.zip
   • HackHotmail



Oggetto: Answer for %nome utente dall'indirizzo email del ricevente%
Corpo della mail:
   • it is This way the life :(
     The answer to its order has been approved, with what becomes accrediting gives the advantages and discounts gives our I circulate, for but you detail sees text the assistant
Allegati:
   • %nome utente dall'indirizzo email del ricevente% .zip
   • Admin Page



Oggetto: Important for %username from receiver's email addre
Corpo della mail:
   • Hello, you don't know me, but I ship you something that interested you, God willing it is you gives utility, bye
Allegati:
   • _msg.zip
   • Message



Oggetto: Click in the assistant and put earphone:)
Corpo della mail:
   • you Listen to yourself this song, Letter to Santa Claus III ;)
Allegati:
   • FuckSanta.zip
   • Play Song



Oggetto: do you want to know how psychopath you are?
Corpo della mail:
   • This is a test used for the I exercise gives states together to recruiting soldiers, it stops in simple words to measure how prone to the madness they are, and you go how released these.
Allegati:
   • CrazyTest.zip
   • Test Here



Oggetto: Drawings (This Very Good)
Corpo della mail:
   • you Look at yourself this ;)
Allegati:
   • Drawings.zip
   • MORE Drawings



Oggetto: Osama Ben Laden the man that I declare the War to United States
Corpo della mail:
   • That induced it to leave a possible life he gives luxuries, to go aboard in a sacred war against it USES, wise that the families give Bush and Osama they knew each other, find out he gives the true causes he gives their war
Allegati:
   • Osama.zip
   • Osama Web



Oggetto: PornStars Show
Corpo della mail:
   • Looks at this scrensaver gives the actresses he/she gives the cinema porn
Allegati:
   • PornStars.zip
   • PorStars All Access



Oggetto: Alone the pure truth
Corpo della mail:
   • it is This way the life :(
Allegati:
   • e picture
   • Alone the pure truth



Oggetto: 16 Pictures give the best doe gives Playboy
Corpo della mail:
   • The best pictures give PlayBoy gives this year, it passes them ;)
Allegati:
   • 16Playboy.zip
   • Planet PlayBoy



Oggetto: I Warn Important
Corpo della mail:
   • %nome utente dall'indirizzo email del ricevente% due to the reformations he/she gives the servant, it is asked the users to complete the new registration in order to validate their you count and don't be suspended. Sincerely AdminSystem"
Allegati:
   • Registry.zip
   • New Registry



Oggetto: Ten commandments give the Love and Sex
Corpo della mail:
   • to Maintain a healthy loving relationship and upper demands a lot of effort and many desires, we give you these 10 keys
Allegati:
   • 10Claves.zip
   • Love and Sex



Oggetto: As Knowing if he Likes?
Corpo della mail:
   • you die for that person, but you don't know if to tell him something, because capable doesn't give you ball, with this test you can discover specificses that indicate you that it feels for you :)
Allegati:
   • TestG.zip
   • My Page



Oggetto: 100% Ideal
Corpo della mail:
   • %nome utente dall'indirizzo email del ricevente% does it Participate in this puzzle, if you could create to the Girl (or Boy) Ideal choosing a face gives here and does a silhouette give there, as serious your Ideal couple?
Allegati:
   • Ideal.zip
   • 100% Ideal



Oggetto: Vision gives the Future
Corpo della mail:
   • Everything has Been given
Allegati:
   • YourFuture.zip
   • Necromancy



Oggetto: YourFuture.zip
Corpo della mail:
   • you Look at it your same one
Allegati:
   • ThatStrange.zip
   • That Strange


File allegato:

L'allegato una copia del malware stesso.



Lemail si presenta come di seguito:


 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • .htm
   • .txt
   • .php
   • .asp


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • virus; master; persys; perant; abuse; report; panda; symantec; trend;
      avp; kasp; nod; support; admin; foo; iana; messagelab; microsoft; msn;
      anyone; bug; f-secur; free-av; google; help; info; linux; soporte;
      nobody; noone; noreply; rating; root; samples; sopho; spam; unix; upd;
      winrar; winzip


Server MX:
Ha la capacit di contattare uno dei seguenti server MX:
   • mdm@latinmail.com
   • mx1.hotmail.com
   • mdm@hotmail.com
   • correo.viabcp.com

 P2P Per infettare altri sistemi della comunit della rete Peer to Peer, viene eseguita la seguente azione:   Cerca le seguenti condivisioni standard:
   • appleJuice\incoming
   • eDonkey2000\incoming
   • Gnucleus\Downloads
   • Grokster\My Grokster
   • ICQ\shared files
   • Kazaa\My Shared Folder
   • Kazaa Lite\My Shared Folder
   • LimeWire\Shared
   • morpheus\My Shared Folder
   • Overnet\incoming
   • Shareaza\Downloads
   • Swaptor\Download
   • WinMX\My Shared Folder
   • Tesla\Files
   • XoloX\Downloads
   • Rapigator\Share
   • KMD\My Shared Folder
   • BearShare\Shared
   • Direct Connect\Recieved Files
   • eMule\Incoming
   • Kazaa Lite K++\My Shared Folder
   • My Downloads

   Cerca tutte le directory condivise standard.

   Se riuscito, i seguenti file vengono creati:
   • Quick Time Key Crack.exe; Ana Kournikova Sex Video.exe; AVP Antivirus
      Pro Key Crack.exe; Britney Spears Sex Video.exe; Buffy Vampire Slayer
      Movie.exe; Crack Passwords Mail.exe; Cristina Aguilera Sex Video.exe;
      Game Cube Real Emulator.exe; delphi.exe; Hentai Anime Girls Movie.exe;
      Jenifer Lopez Sex Video.exe; Matrix Movie.exe; Mcafee Antivirus Scan
      Crack.exe; Norton Anvirus Key Crack.exe; Panda Antivirus Titanium
      Crack.exe; PS2 PlayStation Simulator.exe; divx pro.exe; Sakura Card
      Captor Movie.exe; Sex Live Simulator.exe; Sex Passwords.exe; Spiderman
      Movie.exe; Start Wars Trilogy Movies.exe; Thalia Sex Video.exe; Winzip
      KeyGenerator Crack.exe; aol cracker.exe; aol password cracker.exe; GTA
      3 Crack.exe; GTA 3 Serial.exe; play station emulator.exe; virtua girl
      - adriana.exe; virtua girl - bailey short skirt.exe; Virtua Girl
      (Full).exe; warcraft 3 crack.exe; warcraft 3 serials.exe;
      counter-strike.exe; divx_pro.exe; HotGirls.exe; hotmail_hack.exe;
      pamela_anderson.exe; serials2000.exe; subseven.exe; VB6.exe;
      VirtualSex.exe; ACDSee 5.5.exe; Age of Empires 2 crack.exe; Animated
      Screen 7.0b.exe; AOL Instant Messenger.exe; AquaNox2 Crack.exe;
      Audiograbber 2.05.exe; BabeFest 2004 ScreenSaver 1.5.exe; Babylon
      3.50b reg_crack.exe; Battlefield1942_bloodpatch.exe;
      Battlefield1942_keygen.exe; DirectX InfoTool.exe; Business Card
      Designer Plus 7.9.exe; Clone CD 5.0.0.3 (crack).exe; Clone CD
      5.0.0.3.exe; Coffee Cup Free zip 7.0b.exe; Cool Edit Pro v2.55.exe;
      Diablo 2 Crack.exe; DirectDVD 5.0.exe; DirectX Buster (all
      versions).exe; DivX Video Bundle 6.5.exe; Download Accelerator Plus
      6.1.exe; DVD Copy Plus v5.0.exe; DVD Region-Free 2.3.exe; FIFA2004
      crack.exe; Final Fantasy VII XP Patch 1.5.exe; Flash MX crack
      (trial).exe; FlashGet 1.5.exe; FreeRAM XP Pro 1.9.exe; GetRight
      5.0a.exe; Global DiVX Player 3.0.exe; Gothic2 licence.exe; Guitar
      Chords Library 5.5.exe; Hitman_2_no_cd_crack.exe; Hot Babes XXX Screen
      Saver.exe; ICQ Pro 2004a.exe; SmartRipper v2.7.exe; ICQ Pro 2004b (new
      beta).exe; iMesh 3.6.exe; iMesh 3.7b (beta).exe; IrfanView 4.5.exe;
      KaZaA Hack 2.5.0.exe; KaZaA Speedup 3.6.exe; Links 2004 Golf game
      (crack).exe; Living Waterfalls 1.3.exe; Mafia_crack.exe; Matrix
      Screensaver 1.5.exe; MediaPlayer Update.exe; mIRC 6.40.exe; mp3Trim
      PRO 2.5.exe; MSN Messenger 5.2.exe; NBA2004_crack.exe; Need 4 Speed
      crack.exe; Nero Burning ROM crack.exe; Netfast 1.8.exe; SmartFTP
      2.0.0.exe; Network Cable e ADSL Speed 2.0.5.exe; NHL 2004 crack.exe;
      Nimo CodecPack (new) 8.0.exe; PalTalk 5.01b.exe; Popup Defender
      6.5.exe; Pop-Up Stopper 3.5.exe; QuickTime_Pro_Crack.exe; Serials 2004
      v.8.0 Full.exe; Space Invaders 1978.exe; Splinter_Cell_Crack.exe;
      Steinberg_WaveLab_5_crack.exe; Trillian 0.85 (free).exe; TweakAll
      3.8.exe; Unreal2_bloodpatch.exe; Unreal2_crack.exe;
      UT2004_bloodpatch.exe; UT2004_keygen.exe; UT2004_no cd (crack).exe;
      UT2004_patch.exe; WarCraft_3_crack.exe; Winamp 3.8.exe; WindowBlinds
      4.0.exe; WinOnCD 4 PE_crack.exe; WinZip 9.0b.exe; Yahoo Messenger
      6.0.exe; Zelda Classic 2.00.exe; Windows XP complete + serial.exe;
      Screen saver christina aguilera.exe; Screen saver christina aguilera
      naked.exe; Visual basic 6.exe; Starcraft serial.exe; Credit Card
      Numbers generator(incl Visa,MasterCard,...).exe; Edonkey2000-Speed me
      up scotty.exe; Hotmail Hacker 2004-Xss Exploit.exe; Kazaa SDK + Xbit
      speedUp for 2.xx.exe; Microsoft KeyGenerator-Allmost all microsoft
      stuff.exe; Netbios Nuker 2004.exe; Security-2004-Update.exe; Stripping
      MP3 dancer+crack.exe; Visual Basic 6.0 Msdn Plugin.exe; Windows Xp
      Exploit.exe; WinRar 3.xx Password Cracker.exe; WinZipped Visual C++
      Tutorial.exe; XNuker 2004 2.93b.exe; cable modem ultility pack.exe;
      macromedia dreamweaver key generator.exe; winamp plugin pack.exe;
      winzip full version key generator.exe; PerAntivirus 8.9.exe; The
      Hacker Antivirus 5.7.exe

   Questi file sono copie del malware stesso.



La directory condivisa potrebbe presentarsi come la seguente:


 Infezione della rete Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

La seguente lista di Nomi Utente:
   • Andrea; Pamela; Patricia; Cristina; Adriana; Katherine; July; Vanessa;
      Jennifer; Karina; Janeth; Dulce; Bill; Alejandro; Dark; Bracho;
      Torres; Aguilar; Martinez; Lugo; Costa; Velarde; Varela; Helsim;
      Valencia; Mancilla; Braschi; Wong; Chang; Mora; Arana; Alvites; Start;
      Toledo; Flores; Garcia; Orellana; Hoyos; Perez; Campos; Humala;
      Alvarez; Valenzuela; Luque

La seguente lista di Password:
   • "123"; "1234"; "12345"; "123456"; "1234567"; "12345678"; "654321";
      "54321"; "111"; "11111"; "111111"; "11111111"; "000000"; "00000000";
      "pass"; "5201314"; "88888888"; "888888"; "passwd"; "password";
      "database"; "test"; "server"; "computer"; "secret"; "oracle";
      "sybase"; "Internet"; "super"; "user"; "manager"; "public"; "private";
      "default"; "1234qwer"; "123qwe"; "abcd"; "abc123"; "123abc"; "abc";
      "123asd"; "dos"; "asdfgh"; "!@; $"; "!@; $%"; "!@; $%^"; "!@; $%^&";
      "!@; $%^&*"; "!@; $%^&*("; "!@; $%^&*()"; "intel"; "KKKKKKK"; "09876"


 IRC Diffusione:
Il file Mirc.ini viene modificato.

 Processi terminati Prova a terminare i seguenti processi e a cancellare i file corrispondenti:
   • avx; adaware; advxdwin; alevir; arr; auto-protect; Avg; avw; ahnsd;
      apvxdwin; anti-trojan; avsched32; avconsol; ackwin32; autodown; alert;
      amon; avmon; antivir; avsynmgr; avnt; avrep32; ants; atcon; atupdater;
      atwatch; autotrace; aplica32; atro55en; aupdate; autoupdate; avrescue;
      agent; avltmain; backweb; blackice; blackd; bd_professional; bidef;
      bidserver; bipcp; bisp; bootwarn; borg2; bs120; buscareg; clrav;
      claw95ct; cfiaudit; cfiadmin; cmgrdian; ctrl; cfind; cfinet; ccapp;
      claw95; cpd; cleanpc; cmon016; cpf9x206; cpfnt206; csinject; csinsm32;
      css1631; cwnb181; cwntdwmo; ccevtmgr; ccpxysvc; dv95; dvp95; defwatch;
      defalert; doors; deputy; dpf; drwatson; drweb32; drwebupw; efinet32;
      espwatch; esafe; efpeadm; etrustcipe; evpn; ecengine; eli; findviru;
      f-agnt95; frw; f-stopw; filemon; f-prot; fch32; fih32; fp-win; fsgk32;
      fnrb32; fsaa; fameh32; fast; fix-it; flowprotector; fp-win_trial;
      fsav; fsm; fwenc; gbmenu; gbpoll; generics; guard; hacktracer; htlog;
      icssuppnt; icload; iamapp; icsupp95; ibma; iomon98; icmo; iface; iams;
      ifw2000; iparmor; iris; isrv95; jed; jammer; kpf; kavlite; kerio;
      luall; lookout; lockdown; lucomserver; ldpromenu; luspt; ldnetmon;
      ldpro; localnet; lsetup; luau; luinit; mpftray; moolive; msconfig;
      monitor; mcmnhdlr; mctool; mcupdate; mcvsrte; mghtml; minilog;
      mcvsshld; mpfservice; mwatch; mcshield; mfw2en; mfweng3; mgavr; mgui;
      monsys; monwow; mrflux; msinfo32; mssmmc32; mu0311ad; mxtask; nav;
      netd32; nod32; nspclean; nmain; nvc95; nisum; nupgrade; per; nwtool16;
      normist; nisserv; nsched32; neowatchlog; nvsvc32; nwservice;
      ntxconfig; ntvdm; npssvc; npscheck; netutils; ndd32; notstart; nc2000;
      ncinst4; netarmor; netinfo; netmon; pav; netspyhunter; netstat; npf;
      nui; nvarch16; nvlaunch; nwinst4; nvapsvc; outpost; offguard;
      ostronet; procexp; pcfwallicon; programauditor; pop3trap; poproxy;
      pcntmon; padmin; pview95; pcc; pqremove; pfwcon; pfwagent; pfwsvc;
      prebind; panixk; pcdsetup; pcip10117_0; pf2; pfwadmin; platin;
      portdetective; ppinupdt; pptbc; ppvstop; procexplorerv1; proport;
      protect; purge; pccntmon; ping; qconsole; qserver; rav; regmon;
      rescue; rapapp; rtvscn95; rulaunch; regedit; regedt32; realmon;
      rshell; stinger; serv95; safeweb; symproxysvc; symtray; sphinx; smc;
      ss3edit; sbserv; swnetsup; sfc; schedapp; setupvameeval;
      setup_flowprotector_us; sgssfw32; shellspyinstall; shn; sofi; spf;
      srwatch; st2; supftrl; supporter5; sweep; sysdoc32; sysedit;
      sharedaccess; tbscan; tds; taumon; tcm; tfak; taskmon; tauscan; tc;
      tgbob; titanin; tracer; trjs; tmntsrv; undoboot; Update; vshwin32;
      vet; vsecomr; vbcmserv; vbcons; vir -help; vptray; vsmain; vsmon;
      vsstat; vettray; vcontrol; vbust; vbwin; vccmserv; vcsetup; vfsetup;
      vnlan300; vnpc3000; vpc; vpfw30s; vscenu6; vsisetup; vswin; vvstat;
      view; wfindv32; wimmun32; wgfe95; webtrap; watchdog; wradmin; wrctrl;
      w32dsm89; whoswatchingme; winrecon; winroute; winsfcm; wsbgate;
      zonealarm; zapro; zap; zcap; zatutor; zonestub; asdf; zlclient;
      zauinst; zonalm2601; taskmgr

I processi con le seguenti caratteristiche vengono terminati:
      Titolo: %stringa di caratteri casuale%     Nome classe: DirectUIHWND
      Titolo: %stringa di caratteri casuale%     Nome classe: RICHEDIT20a
      Titolo: %stringa di caratteri casuale%     Nome classe: RICHEDIT
      Titolo: %stringa di caratteri casuale%     Nome classe: ate32class

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Irina Boldea su martedì 6 dicembre 2005
Descrizione aggiornata da Andrei Gherman su lunedì 30 gennaio 2006

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.