VírusWorm/Anker.P
Data em que surgiu:02/09/2005
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:15.872 Bytes
MD5 checksum:0d190e489ecb8c595425eb7543ee2624
Versão VDF:6.31.1.208

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Symantec: W32.Ahker@mm
   •  Mcafee: AgentHacker
   •  Kaspersky: Email-Worm.Win32.Anker.p
   •  TrendMicro: WORM_AHKER.J
   •  F-Secure: W32/Anker.G@mm
   •  VirusBuster: I-Worm.Anker.G
   •  Bitdefender: Win32.Anker.P@mm


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows ME


Efeitos secundários:
   • Descarrega um ficheiro
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\Bazzi.exe




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://www.aliensoftware.co.uk/Files0908/MSWINSCK.OCX
Encontra-se no disco rígido: %SYSDIR%\MSWINSCK.OCX

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft AntiSpyware"="Bazzi.exe"



Altera as seguintes chaves de registo do Windows:

– [HKLM\Software\speedBit\Download Accelerator]
   Valor anterior:
   • "BrowserIntegration"=%definições do utilizador %
   Valor recente:
   • "BrowserIntegration"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Hidden"="=%definições do utilizador %
   Valor recente:
   • "Hidden"=dword:00000000

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Formato do email:



De: peter_parker@hotmail.com
Assunto: Returned mail
Body:
   • sendmail daemon reported:
     Error 804 occured during SMTP session. Partial message has been received.



De: mariah_hillary@aol.com
Assunto: Delivery Error
Body:
   • Mail transaction failed. Partial message is available.



De: johnloke@msn.uk
Assunto: Status
Body:
   • The message contains Unicode characters and has been sent as a binary attachment.



De: bazzi@microsoft.com
Assunto: Server Report
Body:
   • The message contains MIME-encoded graphics and has been sent as a binary attachment.



De: sarah_alia@yahoo.com
Assunto: Mail Transaction Failed
Body:
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.



De: seniormanager@byblos.com
Assunto: Mail Delivery System
Body:
   • Your credit card was charged for $500 USD. For additional information see the attachment.



De: michel_bado@gmail.com
Assunto: Do not reply to this email!
Body:
   • ESMTP [Secure Mail System 334]: Secure message is attached.



De: otacon@konami.jp
Assunto: Error
Body:
   • Encrypted message is available.



De: majortom@fbi.gov
Assunto: FWD:Hello
Body:
   • You have visited illegal websites!!
     I have a big list of the websites you surfed.



De: hilton_britgette@ahker.lb
Assunto: FWD:Hey
Body:
   • Bad Gateway: The message has been attached.



De: billy@hacker.com
Assunto: There you go!
Body:
   • There is the password you requested!



De: agent@hacker.com
Assunto: Password Cracked!
Body:
   • Hotmail Cracker Version 2.25 attached!


Atalho:
O ficheiro de atalho tem o seguinte nome:
   • Message.Zip

O ficheiro de atalho é uma cópia do malware.

 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • doc; slk; txt; wab; htt; htm; html; ppt; hta; hte; htx; pst; shtml;
      stm; asp; rtf; xml; adb; tbb; sht; dbx; uin; abc; abd; vap; abx; ade;
      adp; vbs; adr; bak; bas; vcf; cfg; cgi; cls; wsh; cms; csv; ctl;
      xhtml; dhtm; dsp; dsw; xls; eml; fdb; frm; hlp; imb; imh; imm; inbox;
      ini; jsp; ldb; ldif; log; mbx; mda; mdb; mde; mdw; mdx; mht; mmf; msg;
      nab; nch; nfo; nsf; nws; ods; oft; phtm; pmr

 Terminar o processo O seguinte processo é terminado:
   • DAP.exe


 DoS Logo que torna activo, inicia um ataque DoS contra o seguinte destino:
   • http://www.rohitab.com

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Razvan Olteanu em segunda-feira, 5 de setembro de 2005
Descrição atualizada por Razvan Olteanu em segunda-feira, 5 de setembro de 2005

Voltar . . . .