VírusWorm/Harwig.C
Data em que surgiu:30/08/2005
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:Baixo
Ficheiro estático:Sim
Tamanho:101,446 Bytes
MD5 checksum:070bf77be2f7361d4d52a5a646ae420d
Versão VDF:6.30.0.222

 Vulgarmente Meio de transmissão:
   • Messenger


Alias:
   •  Symantec: W32.Kelvir
   •  Mcafee: W32/Harwig.worm.gen.ba
   •  Kaspersky: IM-Worm.Win32.Harwig.a
   •  TrendMicro: WORM_HARWIG.A
   •  Sophos: W32/Harwig-C
   •  Bitdefender: Worm.Harwig.A


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Bloqueia o acesso a determinados Web sites
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\abcdefg.exe



É criado o seguinte ficheiro:

%WINDIR%\AST.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/RBot.72262

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "FILE"="c:\windows\\abcdefg.exe"



É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\MSNMessenger]
   • "Server"="messenger.hotmail.com;127.0.0.1:1863"

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– Windows Live Messenger


Mensagem
A mensagem enviada parece-se com a seguinte:

   • It is you on that picture right?
     Here check it %link%
     OMG! LOL ... Some people put a picture of you online :P, did u know that???


%link%
Enquanto a curinga é a seguinte:
   • http://www.**********database.info/ugly/picture40328.PIF

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso não haverá alterações.

– O acesso ao seguinte domínio é bloqueado:
   • messenger.hotmail.com




O ficheiro hospedeiro (alterado) terá a seguinte aparência:


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • Morphine 1.4 - 2.7

Descrição enviada por Iulia Diaconescu em quarta-feira, 31 de agosto de 2005
Descrição atualizada por Iulia Diaconescu em segunda-feira, 19 de setembro de 2005

Voltar . . . .