Nome del virus:Worm/Yimfoca.A.23
Scoperto:01/05/2011
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:151.552 Byte
Somma di controllo MD5:0FCC67F846B38F633FADCB3784B65CE4
Versione VDF:7.11.07.95 - domenica 1 maggio 2011
Versione IVDF:7.11.07.95 - domenica 1 maggio 2011

 Generale Metodo di propagazione:
   • Messenger


Alias:
   •  Kaspersky: Worm.Win32.AutoRun.cjxa
   •  Eset: Win32/Yimfoca.AG


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro


Giusto dopo l'esecuzione, avvia un'applicazione Windows che visualizzerà la seguente finestra:


 File Si copia alla seguente posizione:
   • %WINDIR%\csrss.exe




Prova ad eseguire i seguenti file:

– Nome del file:
   • net
utilizzando i seguenti parametri: stop wuauserv


– Nome del file:
   • net
utilizzando i seguenti parametri: stop MsMpSvc


– Nome del file:
   • sc
utilizzando i seguenti parametri: config wuauserv start= disabled


– Nome del file:
   • sc
utilizzando i seguenti parametri: config MsMpSvc start= disabled


– Nome del file:
   • netsh
utilizzando i seguenti parametri: firewall add allowedprogram 1.exe 1 ENABLE


– Nome del file:
   • explorer.exe
utilizzando i seguenti parametri: http://browseusers.myspace.com/Browse/Browse.aspx

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows System Devices Manager"="%WINDIR%\csrss.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows System Devices Manager"="%WINDIR%\csrss.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows System Devices Manager"="%WINDIR%\csrss.exe"



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%file eseguiti%"="%WINDIR%\csrss.exe:*:Enabled:Windows System
      Devices Manager"



Vengono cambiate le seguenti chiavi di registro:

– [HKCR\TypeLib\{1EA4DBF0-3C3B-11CF-810C-00AA00389B71}\1.1\0\win32]
   Nuovo valore:
   • "(Default)" = "oleacc.dll"

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Valore precedente:
   • "Start" = dword:00000001
   Nuovo valore:
   • "Start" = dword:00000004

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– Yahoo Messenger

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: 100m**********.ru
Porta: 2866
Password del server: xxx
Canale: #!nine!
Nickname: NEW-[%stringa di caratteri casuale%]
Password: test

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su giovedì 28 luglio 2011
Descrizione aggiornata da Andrei Gherman su giovedì 28 luglio 2011

Indietro . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tutti i diritti riservati.

Il Mio Account

https:// Questa finestra è criptata per tua sicurezza.