Worm/Tutiam.A - Worm

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	Worm/Tutiam.A
Scoperto:	24/07/2006
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	143.360 Byte
Somma di controllo MD5:	9f2b1ee9a59f56a91a0Ca7b25458e589
Versione VDF:	6.35.00.180
Versione IVDF:	6.35.00.220

Generale Metodi di propagazione:
   • Email
   • Rete locale

Alias:
   • Symantec: W32.Miti@mm
   • Kaspersky: IRC-Worm.Win32.Tutiam.a
   • TrendMicro: WORM_TUTIAM.A
   • VirusBuster: Worm.Tutiam.A
   • Bitdefender: Dropped:Win32.Worm.Tamiami.A

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file
   • Clona un file “maligno”
   • Modifica del registro

Giusto dopo l'esecuzione viene visualizzata la seguente informazione:

File Si copia alle seguenti posizioni:
   • %WINDIR%\strangler.exe
   • %WINDIR%\Tamiami.wrd
   • %WINDIR%\tamweb\Pictures.exe

Crea le seguenti directory:
   • %WINDIR%\tammail
   • %WINDIR%\tamweb

Una sezione viene aggiunta a un file.
– A: %unità disco%:\*.zip Con i seguenti contenuti:
   • SourceCode.exe
     Addons_ENG.exe
     Pictures.exe
     Licence.exe
     ReadMe.exe
     Install.exe
     Quellcode.exe
     Addons.exe
     Bilder.exe
     Lizenz.exe
     LiesMich.exe
     Installation.exe
     (%file eseguiti%)

Vengono creati i seguenti file:

– %WINDIR%\tamver.sys
– %WINDIR%\Tamiami.vbs
– %WINDIR%\tamweb\index.htm Riconosciuto come: Worm/Tamiami.A

– %WINDIR%\Tamiami.mrc

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Tamiami"="%WINDIR%\strangler.exe"

Viene aggiunta la seguente chiave di registro:

– [HKCU\Identities\%dipendente dal sistema%\Software\Microsoft\
   Outlook Express\5.0\Mail]
   • "Warn on Mapi Send"=dword:00000000

Vengono cambiate le seguenti chiavi di registro:

Disattiva il firewall di Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Nuovo valore:
   • "Start"=dword:00000004

IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: irc.quake**********
Porta: 6667
Password del server: %stringa casuale di otto caratteri%
Canale: #tamiami
Nickname: %stringa casuale di otto caratteri%
Password: strangler

Server: quakenet.under**********
Porta: 6667
Password del server: %stringa casuale di otto caratteri%
Canale: #tamiami
Nickname: %stringa casuale di otto caratteri%
Password: strangler

Server: irc.efn**********
Porta: 6667
Password del server: %stringa casuale di otto caratteri%
Canale: #tamiami
Nickname: %stringa casuale di otto caratteri%
Password: strangler

Server: icr.under**********
Porta: 6667
Password del server: %stringa casuale di otto caratteri%
Canale: #tamiami
Nickname: %stringa casuale di otto caratteri%
Password: strangler

Server: eu.under**********
Porta: 6667
Password del server: %stringa casuale di otto caratteri%
Canale: #tamiami
Nickname: %stringa casuale di otto caratteri%
Password: strangler

Server: us.under**********
Porta: 6667
Password del server: %stringa casuale di otto caratteri%
Canale: #tamiami
Nickname: %stringa casuale di otto caratteri%
Password: strangler

Server: port80c.se.quake**********
Porta: 6667
Password del server: %stringa casuale di otto caratteri%
Canale: #tamiami
Nickname: %stringa casuale di otto caratteri%
Password: strangler

– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • disconnettere dal server IRC
    • Connettersi al canale IRC
    • Iniziare procedura di diffusione

Varie Verifica la presenza di una connessione ad internet contattando il seguente sito web:
• http://update.microsoft.com

Mutex:
Crea il seguente Mutex:
• Worm.Tamiami v1.3.2 by DiA/RRLF

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Monica Ghitun il Mon, 24 Jul 2006 13:34 (GMT+1)
Descrizione aggiornata da Andrei Ivanes il Mon, 27 Nov 2006 11:24 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro