Nome del virus:Worm/Recycled.A
Scoperto:11/12/2008
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:13824 Byte
Somma di controllo MD5:23e7f5e4fd224edcf124fa39e76e3f24
Versione VDF:7.00.04.201
Versione IVDF:7.00.04.205 - martedì 17 giugno 2008

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Win32/Hamweq.A
   •  Mcafee: DDoS-Leba
   •  Kaspersky: IRC-Worm.Win32.Small.t
   •  F-Secure: IRC-Worm.Win32.Small.t
   •  Sophos: W32/Autoham-Fam
   •  Grisoft: Worm/Generic.HGW
   •  Eset: Win32/AutoRun.KS
   •  Bitdefender: Backdoor.Agent.ZKX


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica un file
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe



Crea la seguente directory:
   • c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013



Viene creato il seguente file:

– c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini Questo è un file di testo “non maligno” con il seguente contenuto:
   • [.ShellClassInfo]
     CLSID={645FF040-5081-101B-9F08-00AA002F954E}

 Registro Viene aggiunta la seguente chiave di registro:

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
   • StubPath="c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe"

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: hail.dns2go.**********
Porta: 7000
Password del server: 01470147
Nickname: mtnelf

Server: scorti1.dns2go.**********
Porta: 7000
Password del server: 01470147
Nickname: mtnelf


– In più ha la capacità di effettuare azioni quali:
    • Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS UDP
    • Connettersi al canale IRC

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Tutti i seguenti processi:
   • firefox.exe
   • explorer.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Monica Ghitun su giovedì 11 dicembre 2008
Descrizione aggiornata da Monica Ghitun su mercoledì 17 dicembre 2008

Indietro . . . .