VírusWorm/Kafs.A
Data em que surgiu:13/12/2012
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:15.673 Bytes
MD5 checksum:DCE647910FF508DA7B48577C218F6050
Versão VDF:7.11.53.216

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Symantec: W32.Erkez.G@mm
   •  Kaspersky: Email-Worm.Win32.Zafi.g
   •  TrendMicro: WORM_ZAFI.F
   •  Bitdefender: Win32.Zafi.F@mm


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows


Depois de executado é visualizada a seguinte informação:


 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\%uma série de caracteres aleatórios%.dll
   • %SYSDIR%\AntiVirus Update.exe



São criados os seguintes ficheiros:

– Ficheiro não malicioso:
   • %SYSDIR%\%uma série de caracteres aleatórios%.dll

– Ficheiro que contém uma colecção de endereços de email:
   • %SYSDIR%\%uma série de caracteres aleatórios%.dll

– Ficheiros temporários que poderam ser apagados mais tarde:
   • %SYSDIR%\a.wsf
   • %System Root Drive%\m.txt

– %System Root Drive%\z.m Este é um ficheiro de texto não malicioso que contém informação sobre o próprio programa.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\AntiVirus Update.exe



É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\Microsoft\Zi5]

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:
A linguagem na qual o e-mail é enviado depende do nível do domínio.


De:
O endereço do remetente é a conta do utilizador do Outlook.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.


Assunto:
O assunto do e-mail é feito a partir do seguinte:

    Às vezes inicia com o seguinte:
   • FW:
   • RE:

    Continuado por um dos seguintes:
   • msn photo ecard
   • commercial ecard :)
   • witzig reklame :))
   • witzig bild :D
   • legszexibb megasztar foto!
   • szavazz ra te is!
   • broma :))
   • humor :))
   • rolig reklam :))
   • haha - rolig :))
   • grappig beeld :))
   • een grappig reclame :D
   • blague :))
   • humour - reclame :))
   • scherzo :))
   • comico quadro :))
   • humor.ru
   • :D


Corpo:
– Contém código HTML.
O corpo do email é o seguinte:

   • ImageFormat: 640x480
     ImageSize: 16Kb
     Message: you need to see this :))
     From: %email de utilizador%
     Date: %data actual%
     AV-Control: http://%domínio do destinatário%/%ficheiro de atalho sem extensão%.zip MSN Mail: +++ No Virus
     Filename: %uma série de caracteres aleatórios%.jpg [download]

   • BildFormat: 640x480
     Bildabmessung: 16Kb
     Botschaft: eine witzig reklame foto :))
     Absender: %email de utilizador%
     Datum: %data actual%
     AV-Kontrolle: http://%domínio do destinatário%/%ficheiro de atalho sem extensão%.zip MSN Mail: +++ No Virus
     Filename: %uma série de caracteres aleatórios%.jpg [download]

   • KepFormetum: 640x480
     KepMeret: 16Kb
     Dzenet: itt a kedvenc megaszteros kepem :))
     Feladf=F3: %email de utilizador%
     Detum: %data actual%
     AV-Ellenfrzes: http://%domínio do destinatário%/%ficheiro de atalho sem extensão%.zip MSN Mail: +++ No Virus
     Filenev: %uma série de caracteres aleatórios%.jpg [download]

   • Cuadro/Medida: 16Kb
     Mensaje: Sexo y humor para pasar un buen rato! :))
     Expedidor: %email de utilizador%
     Data: %data actual%
     AV-Control: http://%domínio do destinatário%/%ficheiro de atalho sem extensão%.zip MSN Mail: +++ No Virus
     Filename: %uma série de caracteres aleatórios%.jpg [download]

   • Bildform: 640x480
     Bild/Omfattning: 16Kb
     Meddelande: rolig reklam!! :))
     Post: %email de utilizador%
     Datum: %data actual%
     AV-Control: http://%domínio do destinatário%/%ficheiro de atalho sem extensão%.zip MSN Mail: +++ No Virus
     Filenamn: %uma série de caracteres aleatórios%.jpg [download]

   • Beeldformaat: 640x480
     Beeldmaat: 16Kb
     Boodschap: een ontroerend of grappig reclame :))
     Afzender: %email de utilizador%
     Datum: %data actual%
     AV-Controle: http://%domínio do destinatário%/%ficheiro de atalho sem extensão%.zip MSN Mail: +++ No Virus
     Filename: %uma série de caracteres aleatórios%.jpg [download]

   • Image/Mode: 640x480
     Image/Taille: 16Kb
     Message: le sexe d'une femme apres l'amour (humour, reclame) :))
     Expediteur: %email de utilizador%
     Date: %data actual%
     AV-Verification: http://%domínio do destinatário%/%ficheiro de atalho sem extensão%.zip MSN Mail: +++ No Virus
     Filenom: %uma série de caracteres aleatórios%.jpg [download]

   • Quadro/Forma: 640x480
     Quadro/Proporzioni: 16Kb
     Messaggio: comico reclame!! :))
     Mittente: %email de utilizador%
     Data: %data actual%
     AV-Controllare: http://%domínio do destinatário%/%ficheiro de atalho sem extensão%.zip MSN Mail: +++ No Virus
     Nomefile: %uma série de caracteres aleatórios%.jpg [download]

   • открытка с видом: 640 x 480
     по величине: 16 Kb
     послание: :))
     отправитель: %email de utilizador%
     отображение даты: %data actual%
     AV-контролер: http://%domínio do destinatário%/%ficheiro de atalho sem extensão%.zip MSN Mail: +++ No Virus
     имя файла: %random chracter string%.jpg [загружаемый]


Atalho:
O nome do ficheiro de atalho é construído a partir do seguinte:

–  Começa por um dos seguintes:
   • reklam
   • megasztar
   • humor
   • reklame
   • reclame
   • humor
   • funny
   • commercial
   • msn
   • messenger
   • photo

Por vezes continuado por um dos seguintes:
   • reklam
   • megasztar
   • humor
   • reklame
   • reclame
   • humor
   • funny
   • commercial
   • msn
   • messenger
   • photo

    Continuado por um dos seguintes:
   • foto%vários dígitos aleatórios%
   • imag%vários dígitos aleatórios%
   • pict%vários dígitos aleatórios%
   • dscn%vários dígitos aleatórios%

    A extensão do ficheiro é uma das seguintes:
   • .zip

O ficheiro de atalho é uma cópia do ficheiro criado: %SYSDIR%\%uma série de caracteres aleatórios%.dll



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • dbx; asp; txt; htm; mbx; wab; php; sht; adb; tbb; inb; pmr; fpt; eml


Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • support; google; win; use; info; help; admi; webm; micro; msn; hotmai;
      suppor; soft; www; service; test; linux; subsc; sales; contact@; -faq;
      secur; nod3; trend; bitde; symant; eset; panda; mcafe; sopho; kasper


Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email é adicionado (ao início) do nome de domínio o seguinte texto:
   • mx.

 Terminar o processo  Desactiva processos em execução com um dos seguintes textos no nome do ficheiro:
   • reged
   • msconfig
   • task

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • FSG

Descrição enviada por Andrei Gherman em quarta-feira, 12 de outubro de 2005
Descrição atualizada por Andrei Gherman em quinta-feira, 13 de outubro de 2005

Voltar . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Todos os direitos reservados.

Minha Conta

https:// Esta janela é criptografada para sua segurança.