Nome del virus:Worm/Pushbot.NR.1
Scoperto:13/10/2009
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:75.776 Byte
Somma di controllo MD5:bcae72a511b2c005dbd46b96345f2bc2
Versione IVDF:7.01.06.104 - martedì 13 ottobre 2009

 Generale Metodo di propagazione:
   • Autorun feature (it)
   • Messenger
   • Peer to Peer


Alias:
   •  Panda: W32/MSNWorm.HI
   •  Eset: Win32/AutoRun.IRCBot.CX
   •  Bitdefender: Trojan.Generic.2522251


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Duplica file “maligni”
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi
Can be used to lower security settings (it)

 File Si copia alle seguenti posizioni:
   • %WINDIR%\livemessenger.com
   • %unità disco%\RECYCLER\%CLSID%\usb.exe



Vengono creati i seguenti file:

%unità disco%\RECYCLER\%CLSID%\Desktop.ini
%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://browseusers.myspace.com/Browse/**********


– La posizione è la seguente:
   • http://www.messengermsnimages.net/yah/**********

 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Update"="livemessenger.com"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Update"="livemessenger.com"



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%file eseguiti%"="%file eseguiti%:*:Enabled:Microsoft
      Update"

 P2P Cerca le seguenti directory:
   • %PROGRAM FILES%\winmx\shared\
   • %PROGRAM FILES%\tesla\files\
   • %PROGRAM FILES%\limewire\shared\
   • %PROGRAM FILES%\morpheus\my shared folder\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\edonkey2000\incoming\
   • %PROGRAM FILES%\bearshare\shared\
   • %PROGRAM FILES%\grokster\my grokster\
   • %PROGRAM FILES%\icq\shared folder\
   • %PROGRAM FILES%\kazaa lite k++\my shared folder\
   • %PROGRAM FILES%\kazaa lite\my shared folder\
   • %PROGRAM FILES%\kazaa\my shared folder\

   Se riuscito, i seguenti file vengono creati:
   • DivX 5.0 Pro KeyGen.exe; Counter-Strike KeyGen.exe; IP Nuker.exe;
      Website Hacker.exe; Keylogger.exe; AOL Password Cracker.exe; ICQ
      Hacker.exe; AOL Instant Messenger (AIM) Hacker.exe; MSN Password
      Cracker.exe; Microsoft Visual Studio KeyGen.exe; Microsoft Visual
      Basic KeyGen.exe; Microsoft Visual C++ KeyGen.exe; Sub7 2.3
      Private.exe; sdbot with NetBIOS Spread.exe; L0pht 4.0 Windows Password
      Cracker.exe; Windows Password Cracker.exe; NetBIOS Cracker.exe;
      NetBIOS Hacker.exe; DCOM Exploit.exe; Norton Anti-Virus 2005
      Enterprise Crack.exe; Hotmail Cracker.exe; Hotmail Hacker.exe; Brutus
      FTP Cracker.exe; FTP Cracker.exe; Password Cracker.exe; Half-Life 2
      Downloader.exe; UT 2003 KeyGen.exe; Windows 2003 Advanced Server
      KeyGen.exe


 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– AIM Messenger
– MSN Messenger
– Yahoo Messenger


Messaggio

   • Schauen Sie dieses Bild an %file eseguiti%
     Look at this picture %file eseguiti%
     mire este retrato %file eseguiti%
     regarder cette image %file eseguiti%
     guardare quest'immagine %file eseguiti%
     Seen this? :D %file eseguiti%

L'URL si riferisce così a una copia del malware descritto. Se l'utente scarica ed esegue questo file, il processo virale ricomincia di nuovo.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: update.xx**********.com
Canale: #!m!
Nickname: [USA|XP|%numero%]

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su giovedì 11 marzo 2010
Descrizione aggiornata da Petre Galan su lunedì 15 marzo 2010

Indietro . . . .