Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/KillAV.GR
Nmero CME:24
Data em que surgiu:19/01/2006
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:De mdio a elevado
Nvel de risco:Mdio
Ficheiro esttico:No
Tamanho:~100.000 Bytes
Verso VDF:6.33.00.140

 Vulgarmente Meios de transmisso:
   • E-mail
   • Rede local


Alias:
   •  Symantec: W32.Blackmal.E@mm
   •  Mcafee: W32/MyWife.d@MM!M24
   •  Kaspersky: Email-Worm.Win32.Nyxem.e
   •  TrendMicro: WORM_GREW.A
   •  F-Secure: Email-Worm.Win32.Nyxem.e
   •  Sophos: W32/Nyxem-D
   •  Panda: W32/Tearec.A.worm
   •  Grisoft: Worm/Generic.FX
   •  VirusBuster: Worm.P2P.VB.CIL
   •  Bitdefender: Win32.Nyxem.E@mm

Identificado anteriormente como:
     TR/KillAV.GR


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Desactiva aplicaes de segurana
   • Utiliza o seu prprio motor de E-mail
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizaes
   • %WINDIR%\Rundll16.exe
   • %WINDIR%\sytem32\scanregw.exe
   • %WINDIR%\sytem32\Update.exe
   • %WINDIR%\sytem32\Winzip.exe



Altera o contedo dos ficheiros seguintes.
A sincronizao da hora includa no cdigo do vrus activa-se automaticamente depois de: Se o dia tiver o seguinte valor: 3

%todas as pastas%

Extenso dos ficheiros:
   • .doc
   • .xls
   • .mdb
   • .mde
   • .ppt
   • .pps
   • .zip
   • .rar
   • .pdf
   • .psd
   • .dmp

Com os contedos seguintes:
   • DATA Error [47 0F 94 93 F4 K5]




Elimina os seguintes ficheiros:
   • %PROGRAM FILES%\*.htm*
   • %PROGRAM FILES%\DAP\*.dll
   • %PROGRAM FILES%\BearShare\*.dll
   • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
   • %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
   • %PROGRAM FILES%\Norton AntiVirus\*.exe
   • %PROGRAM FILES%\Alwil Software\Avast4\*.exe
   • %PROGRAM FILES%\McAfee.com\VSO\*.exe
   • %PROGRAM FILES%\McAfee.com\Agent\*.*
   • %PROGRAM FILES%\McAfee.com\shared\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
   • %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
   • %PROGRAM FILES%\NavNT\*.exe
   • %PROGRAM FILES%\Morpheus\*.dll
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
   • %PROGRAM FILES%\Grisoft\AVG7\*.dll
   • %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
   • %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
   • %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar



criado o seguinte ficheiro:

%SYSDIR%\%ficheiro executado%.zip aberto usando a aplicao padro para este tipo de ficheiros.

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "ScanRegistry"="scanregw.exe /scan"



Os valores das seguintes chaves registo do windows so eliminados:

–  HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • APVXDWIN
   • avast!
   • AVG_CC
   • AVG7_CC
   • AVG7_EMC
   • Avgserv9.exe
   • AVGW
   • BearShare
   • ccApp
   • CleanUp
   • defwatch
   • DownloadAccelerator
   • kaspersky
   • KAVPersonal50
   • McAfeeVirusScanService
   • MCAgentExe
   • McRegWiz
   • MCUpdateExe
   • McVsRte
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • NAV Agent
   • NPROTECT
   • OfficeScanNT Monitor
   • PCCClient.exe
   • pccguide.exe
   • PCCIOMON.exe
   • PCClient.exe
   • PccPfw
   • Pop3trap.exe
   • rtvscn95
   • ScanInicio
   • ScriptBlocking
   • SSDPSRV
   • TM Outbreak Agent
   • tmproxy
   • Vet Alert
   • VetTray
   • VirusScan Online
   • vptray
   • VSOCheckTask

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • APVXDWIN
   • avast!
   • AVG_CC
   • AVG7_CC
   • AVG7_EMC
   • Avgserv9.exe
   • AVGW
   • BearShare
   • ccApp
   • CleanUp
   • defwatch
   • DownloadAccelerator
   • kaspersky
   • KAVPersonal50
   • McAfeeVirusScanService
   • MCAgentExe
   • McRegWiz
   • MCUpdateExe
   • McVsRte
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • NAV Agent
   • NPROTECT
   • OfficeScanNT Monitor
   • PCCClient.exe
   • pccguide.exe
   • PCCIOMON.exe
   • PCClient.exe
   • PccPfw
   • Pop3trap.exe
   • rtvscn95
   • ScanInicio
   • ScriptBlocking
   • SSDPSRV
   • TM Outbreak Agent
   • tmproxy
   • Vet Alert
   • VetTray
   • VirusScan Online
   • vptray
   • VSOCheckTask



O seguinte valor do registo alterado:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Valor anterior:
   • "WebView""=%definies do utilizador %
   Valor recente:
   • "WebView""=dowrd:00000000

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.
 Endereos de e-mail recolhidos do WAB (Windows Address Book).
Endereos de e-mail recolhidos do Yahoo! Messenger.
Endereos de e-mail recolhidos do MSN Messenger.


Assunto:
Um dos seguintes:
   • The Best Videoclip Ever; School girl fantasies gone bad; A Great
      Video; Fuckin Kama Sutra pics; Arab sex DSC-00465.jpg; give me a kiss;
      *Hot Movie*; Fw: Funny :); Fwd: Photo; Fwd: image.jpg; Fwd: Crazy
      illegal Sex!; Fw: Sexy; Re:; Fw:; Fw: Picturs; Fw: DSC-00465.jpg; Word
      file; eBook.pdf; the file; Part 1 of 6 Video clipe; You Must View This
      Videoclip!; Miss Lebanon 2006; Re: Sex Video; My photos; Photos; Fwd:
      image.jpg

Nalguns casos o assunto pode no conter texto.


Corpo:
O corpo do email um dos seguintes:

   • Note: forwarded message attached.

   • Hot XXX Yahoo Groups

   • Fuckin Kama Sutra pics

   • ready to be FUCKED ;)

   • VIDEOS! FREE! (US$ 0,00)

   • >> forwarded message

   • ----- forwarded message -----

   • i just any one see my photos. It's Free :)

   • hello,
     i send the file.
     bye

   • hi
     i send the details
     bye

   • how are you?
     i send the details.
     OK ?

   • i attached the details.

   • Thank you

   • Please see the file.

   • What?

   • ???????????????????????????? ????????????? ??????
     ???????????


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • DSC-00465.Pif; image04.pif; photo.pif; School.pif; 677.pif; 04.pif;
      eBook.PIF; New_Document_file.pif; 007.pif; document.pif;
      DSC-00465.pIf; Video_part.mim; Attachments[001].B64;
      3.92315089702606E02.UUE; WinZip.BHX; Attachments001.BHX; Sex.mim;
      Original Message.B64; eBook.Uu; Attachments00.HQX; Word_Document.hqx;
      Word_Document.uu

O ficheiro de atalho uma cpia do malware.



O email pode ser parecido com um dos seguintes:



 Mailing Pesquisa endereos:
Procura endereos de email nos seguintes ficheiros:
   • .HTM; .DBX; .EML; .MSG; .OFT; .NWS; .VCF; .MBX; .IMH; .TXT; .MSF


Resolver nomes de servidores:
Tem a capacidade de contactar o servidor DNS:
   • ns1.%nome de domnio do endereo de e-mail do destinatrio%

 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.

Envia uma cpia de si prprio seguinte partilha de rede:
   • C$


Usa a seguinte informao de login para ganhar acesso mquina remota:

O seguinte nome de utilizador :
   • administrator



Execuo remota:
Tenta programar uma execuo remota do malware, na mquina recentemente infectada. Ento usa a funo de NetScheduleJobAdd.

 Terminar o processo So terminados os processos que contm um dos titulos seguintes:
   • SYMANTEC
   • SCAN
   • KASPERSKY
   • VIRUS
   • MCAFEE
   • TREND MICRO
   • NORTON
   • REMOVAL
   • FIX


 Backdoor Contacta o servidor:
Seguinte:
   • http://webstats.web.rcn.net/cgi-bin/**********?df=765247

Como resultado pode enviar alguma informao. Isto feito usando o mtodo HTTP GET atravs de scripts CGI.


Envia informao sobre:
     Situao actual de malware

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Andrei Ivanes em sexta-feira, 20 de janeiro de 2006
Descrição atualizada por Andrei Gherman em terça-feira, 12 de setembro de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.