Nome del virus:Worm/Drefir.E
Scoperto:24/06/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:128.328 Byte
Somma di controllo MD5:33be61dcfce0efaf88fda9adda4ddf7c
Versione IVDF:6.31.00.108 - venerdì 24 giugno 2005

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Mcafee: W32/Drefir.worm
   •  Sophos: W32/Dref-C
   •  Panda: W32/Drefir.E.worm
   •  Eset: Win32/Drefir.E
   •  Bitdefender: Win32.Worm.Drefir.E.DAM@MM


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Clona un file “maligno”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\SysDrefIWv2.exe

 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Nuovo valore:
   • "%directory di esecuzione del malware%\%file eseguiti%" = "%directory di esecuzione del malware%\%file eseguiti%:*:Enabled:%file eseguiti%"

Disattiva il firewall di Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Nuovo valore:
   • "Start" = 00000004

 Email Utilizza il Messaging Application Programming Interface (MAPI) per inviare email. Le caratteristiche sono ulteriormente descritte:


Da:
L’indirizzo del mittente è l'account Outlook dell'utente.


A:
– Indirizzi email raccolti da WAB (Windows Address Book)


Oggetto:
Uno dei seguenti:
   • just read it,its fantastic
   • here are the porn you asked me to show you...
   • here are the programms you asked me to mail you
   • for any help,mail me back
   • please read again what i have written to you !
   • here are the pictures you asked me to send you.
   • My Story
   • Your Stuff
   • Your Files



File allegato:
Il nome del file allegato è uno dei seguenti:
   • Story.scr
   • linda.scr
   • musicbox.exe
   • mail.scr
   • pictures_1.exe
   • My Life.rar
   • porn.rar
   • package1.rar
   • info.rar
   • pictures.rar

L'allegato è una copia del malware stesso.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: irc.e**********.net
Porta: 6667

Server: eu.u**********.org
Porta: 6667

Server: us.u**********.org
Porta: 6667

Server: irc.d**********.net
Porta: 6667

Server: irc.r**********.net
Porta: 6667

Server: irc.fr.i**********.net
Porta: 6667

Server: irc.i**********.ee
Porta: 6667

Server: random.i**********.de
Porta: 6667

Server: irc.us.i**********.net
Porta: 6667

Server: irc.q**********.org
Porta: 6667

Server: leak.e**********.co.uk
Porta: 8080
Canale: #irc


– In più ha la capacità di effettuare azioni quali:
    • Inviare email
    • Visitare un sito web

 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • http://www.google.com/

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su venerdì 5 febbraio 2010
Descrizione aggiornata da Petre Galan su venerdì 5 febbraio 2010

Indietro . . . .