VírusWorm/IM.Guap.a
Data em que surgiu:22/08/2005
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:57.344 Bytes
MD5 checksum:64B2695C0F8B25A89581C25618E2096B
Versão VDF:6.31.1.154

 Vulgarmente Meio de transmissão:
   • Messenger


Alias:
   •  Mcafee: W32/Generic.worm!p2p
   •  Kaspersky: IM-Worm.Win32.Guap.a
   •  Bitdefender: Win32.Worm.Guap.A


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Bloqueia o acesso a determinados Web sites
   • Bloqueia o acesso a Web sites de segurança
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\pkguard32.exe



É criado o seguinte ficheiro:

%WINDIR%\hosts

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • PK Guard"="%SYSDIR%\pkguard32.exe"



As chaves seguintes são adicionadas (num loop infinito) ao registo, para executar os processos depois de reinicializar.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • PK Guard"="%SYSDIR%\pkguard32.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • PK Guard"="%SYSDIR%\pkguard32.exe"



Altera as seguintes chaves de registo do Windows:

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Valor anterior:
   • "Start"=dword:00000002
   Valor recente:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • "Start"=dword:00000002
   Valor recente:
   • "Start"=dword:00000004

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– AIM Messenger
– Yahoo Messenger
– Windows Messenger


Para:
Todas as entradas na lista de contactos.


Mensagem
A mensagem enviada parece-se com a seguinte:

   • It repeatedly sends the following line to all of the user's contacts:
     Hehe, take a look at this funny game %link%


%link%
Enquanto a curinga é a seguinte:
   • http://**********games.yaboo.dk/Monkye.exe

O URL aponta para uma cópia do malware descrito. Se o utilizador descarregar e executar este ficheiro terá início o processo de infecção do seu computador.

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– O acesso aos seguintes domínios é bloqueado:
   • www.symantec.com; symantec.com; securityresponse.symantec.com;
      sarc.com; www.sarc.com; www.sophos.com; sophos.com; www.mcafee.com;
      mcafee.com; liveupdate.symantecliveupdate.com; www.viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; f-prot.com;
      www.f-prot.com; kaspersky.com; kaspersky-labs.com; www.avp.com;
      avp.com; www.kaspersky.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      vil.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.trendmicro.com; housecall.trendmicro.com;
      pandasoftware.com; www.pandasoftware.com; www.trendmicro.com;
      free.grisoft.com; www.grisoft.com; grisoft.com; clamav.net;
      www.clamav.net; free-av.com; www.free-av.com; www.avast.com;
      avast.com; cert.org; www.cert.org; www.microsoft.com; microsoft.com;
      www.virustotal.com; virustotal.com; update.microsoft.com;
      windowsupdate.microsoft.com




O ficheiro hospedeiro (alterado) terá a seguinte aparência:


 Terminar o processo  Lista de serviços desactivados:
   • Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
   • Automatic Updates

 Backdoor É aberta a seguinte porta:

%SYSDIR%\pkguard32.exe numa porta UDP aleatória

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.

Descrição enviada por Andrei Gherman em terça-feira, 23 de agosto de 2005
Descrição atualizada por Oliver Auerbach em quarta-feira, 7 de setembro de 2005

Voltar . . . .