Nome del virus:W32/Weird.e
Scoperto:09/11/2005
Tipo:File Infector
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:No
Dimensione del file:~20.000 Byte
Versione VDF:6.32.00.159

 Generale Alias:
   •  Symantec: W32.Ganty.Worm
   •  Mcafee: W32/Gason
   •  Kaspersky: Virus.Win32.Weird.e
   •  Sophos: W32/Weird-E
   •  VirusBuster: Win32.Ganty
   •  Eset: Win32/Weird.E
   •  Bitdefender: Win32.Weird.E


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Clona un file “maligno”
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %WINDIR%\McAfee.exe

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "McAfee AntiVirus Shield"="%WINDIR%\\McAfee.exe"

 File virale Infector type: (it)

Appender (it)
Infector modifies last section (it)


Infector Stealth (it)
 Infector stealth no (it)


Metodo:

Questo virus rimane attivo nella memoria.


Infection Length (it)

Approximately (it) 20.000 Byte


The following files are infected (P) (it)

By file type (it)
   • *.exe

Files in the following directories (it)
   • %tutte le directory%

 Email Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:


Da:
Il mittente della mail è il seguente:
   • gandeson9871@**********


A:
Il destinatario dell'email è il seguente:
   • gandeson9871@**********


Oggetto:
Il seguente:
   • Please send email to %nome del computer%


 Backdoor Viene aperta la seguente porta:

%file eseguiti% sulla porta TCP 136 con lo scopo di procurarsi delle possibili backdoor. Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Daniel Constantin su martedì 2 febbraio 2010
Descrizione aggiornata da Daniel Constantin su martedì 2 febbraio 2010

Indietro . . . .