Nume:Worm/Recycled.A
Descoperit pe data de:11/12/2008
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:13824 Bytes
MD5:23e7f5e4fd224edcf124fa39e76e3f24
Versiune VDF:7.00.04.201
Versiune IVDF:7.00.04.205 - martedì 17 giugno 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Win32/Hamweq.A
   •  Mcafee: DDoS-Leba
   •  Kaspersky: IRC-Worm.Win32.Small.t
   •  F-Secure: IRC-Worm.Win32.Small.t
   •  Sophos: W32/Autoham-Fam
   •  Grisoft: Worm/Generic.HGW
   •  Eset: Win32/AutoRun.KS
   •  Bitdefender: Backdoor.Agent.ZKX


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe



Creeaza urmatorul director:
   • c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013



Este creat fisierul:

– c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • [.ShellClassInfo]
     CLSID={645FF040-5081-101B-9F08-00AA002F954E}

 Registrii sistemului Se adauga in registrii sistemului:

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
   • StubPath="c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe"

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: hail.dns2go.**********
Port: 7000
Parola serverului: 01470147
Nick: mtnelf

Server: scorti1.dns2go.**********
Port: 7000
Parola serverului: 01470147
Nick: mtnelf


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS UDP
    • intrare pe canal IRC

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Urmatoarele procese:
   • firefox.exe
   • explorer.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Monica Ghitun su giovedì 11 dicembre 2008
Descrizione aggiornata da Monica Ghitun su mercoledì 17 dicembre 2008

Indietro . . . .