VírusWorm/Atak.M
Data em que surgiu:04/08/2005
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Baixo
Ficheiro estático:Sim
Tamanho:11.885 Bytes
MD5 checksum:95b9fa3fe126cf8c3144ce62901d47c3
Versão VDF:6.29.0.21

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Symantec: W32.Atak.G@mm
   •  Mcafee: W32/Atak.j@MM
   •  Kaspersky: Email-Worm.Win32.Atak.i
   •  TrendMicro: WORM_ATAK.K
   •  F-Secure: W32/Atak.L@mm
   •  Sophos: W32/Atak-K
   •  Grisoft: I-Worm/Atak.J
   •  VirusBuster: I-Worm.Scroll


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\sec5dec.exe



Copia-se dentro de um ficheiro para a localização seguinte:
   • %TEMPDIR%\tmp%uma série de caracteres aleatórios%.tmp



Elimina o seguinte ficheiro:
   • %TEMPDIR%\tmp%uma série de caracteres aleatórios%.tmp

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%SYSDIR%\sec5dec.exe"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
– Endereços de e-mail recolhidos do Yahoo! Messenger.
– Endereços de e-mail recolhidos do MSN Messenger.


Assunto:
Um dos seguintes:
   • HAPPY X-MAS TO U!
   • X-MAS GREETING!



Corpo:
– Contém código HTML.

   • Forgive me if I have make some mistake and hope much better next year!
     Happy X-Mas and New Year!
     -----------------------
     http://www.makelovewithspam.com

   • I would like to say Happy X-Mas if you celebrate it and Happy New Year! Be matured not childish!
     -----------------------
     http://www.makelovewithspam.com


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • santa_gift.zip
   • present.zip
   • scroll.zip
   • attached.zip



O email pode ser parecido com um dos seguintes:



 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • log; html; msg; eml; mht; dbx; asp; php; jsp; htm; txt

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Sergiu Oprea em quinta-feira, 11 de agosto de 2005
Descrição atualizada por Sergiu Oprea em terça-feira, 30 de agosto de 2005

Voltar . . . .