Nome del virus:Worm/Waledac.48640
Scoperto:18/03/2009
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:48.640 Byte
Somma di controllo MD5:f9117bf6469b48d8240F4f09aa5adca5
Versione IVDF:7.01.02.184 - mercoledì 18 marzo 2009

 Generale Alias:
   •  Mcafee: W32/Waledac.gen.e
   •  Sophos: Mal/WaledPak-A
   •  Panda: W32/Iksmas.F.worm
   •  Eset: Win32/Waledac.HL
   •  Bitdefender: Trojan.Waledac.DB


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file
   • Clona un file “maligno”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\1042m.exe



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %SYSDIR%\1962655114.dat




Prova a scaricare un file:

– Le posizioni sono le seguenti:
   • http://ShopVideoSchools.cn/v3/**********
   • http://ShopFilmWorld.cn/v3/**********
   • http://MartPictureExistence.cn/v3/**********
   • http://ShopPictureLife.cn/v3/**********
   • http://ShopPigLiving.cn/v3/**********
   • http://ShopVideoFest.cn/v3/**********
Al momento dell'analisi questo file non era più disponibile.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccessdmadmin]
   • "ImagePath"="%SYSDIR%\1042m.exe srv"
   • "DisplayName"="Routing and Remote Access RemoteAccessdmadmin"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x2
   • "ErrorControl"=dword:0x0
   • "Type"=dword:0x110

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su giovedì 15 ottobre 2009

Indietro . . . .