VírusWorm/Aimbot.R
Data em que surgiu:02/08/2005
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Baixo
Ficheiro estático:Sim
Tamanho:221.480 Bytes
MD5 checksum:6cc4b5399b9c4963eb5e1b0934514d0a
Versão VDF:6.31.1.6

 Vulgarmente Meio de transmissão:
   • Messenger


Alias:
   •  Symantec: W32.Allim
   •  Mcafee: W32/Opanki.worm.gen
   •  Kaspersky: Backdoor.Win32.Aimbot.r
   •  TrendMicro: WORM_OPANKI.Z
   •  VirusBuster: Backdoor.Aimbot.C


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\taskbar.exe



Apaga a cópia executada inicialmente.

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Search Bar"="c:\windows\taskbar.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Task Update"="taskbar.exec:\windows\taskbar.exe"

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– AIM Messenger


Para:
Todas as entradas na lista de contactos.
A mensagem enviada parece-se com a seguinte:


Propagação por URL
Envia o link seguinte:
   • http://www.postyourpicture.com/**********/52311.jpg

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: dns.chil0rd.com
Porta: 185
Canal #fate
Nickname: <%aleatório%>
Palavra-chave deadbeaf

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Iulian Popa em quarta-feira, 3 de agosto de 2005
Descrição atualizada por Iulian Popa em quarta-feira, 7 de setembro de 2005

Voltar . . . .