Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/KillAV.GR
Número CME:24
Data em que surgiu:19/01/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De médio a elevado
Nível de risco:Médio
Ficheiro estático:Não
Tamanho:~100.000 Bytes
Versão VDF:6.33.00.140

 Vulgarmente Meios de transmissão:
   • E-mail
   • Rede local


Alias:
   •  Symantec: W32.Blackmal.E@mm
   •  Mcafee: W32/MyWife.d@MM!M24
   •  Kaspersky: Email-Worm.Win32.Nyxem.e
   •  TrendMicro: WORM_GREW.A
   •  F-Secure: Email-Worm.Win32.Nyxem.e
   •  Sophos: W32/Nyxem-D
   •  Panda: W32/Tearec.A.worm
   •  Grisoft: Worm/Generic.FX
   •  VirusBuster: Worm.P2P.VB.CIL
   •  Bitdefender: Win32.Nyxem.E@mm

Identificado anteriormente como:
   •  TR/KillAV.GR


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\Rundll16.exe
   • %WINDIR%\sytem32\scanregw.exe
   • %WINDIR%\sytem32\Update.exe
   • %WINDIR%\sytem32\Winzip.exe



Altera o conteúdo dos ficheiros seguintes.
A sincronização da hora incluída no código do vírus activa-se automaticamente depois de: Se o dia tiver o seguinte valor: 3

%todas as pastas%

Extensão dos ficheiros:
   • .doc
   • .xls
   • .mdb
   • .mde
   • .ppt
   • .pps
   • .zip
   • .rar
   • .pdf
   • .psd
   • .dmp

Com os conteúdos seguintes:
   • DATA Error [47 0F 94 93 F4 K5]




Elimina os seguintes ficheiros:
   • %PROGRAM FILES%\*.htm*
   • %PROGRAM FILES%\DAP\*.dll
   • %PROGRAM FILES%\BearShare\*.dll
   • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
   • %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
   • %PROGRAM FILES%\Norton AntiVirus\*.exe
   • %PROGRAM FILES%\Alwil Software\Avast4\*.exe
   • %PROGRAM FILES%\McAfee.com\VSO\*.exe
   • %PROGRAM FILES%\McAfee.com\Agent\*.*
   • %PROGRAM FILES%\McAfee.com\shared\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
   • %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
   • %PROGRAM FILES%\NavNT\*.exe
   • %PROGRAM FILES%\Morpheus\*.dll
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
   • %PROGRAM FILES%\Grisoft\AVG7\*.dll
   • %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
   • %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
   • %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar



É criado o seguinte ficheiro:

%SYSDIR%\%ficheiro executado%.zip É aberto usando a aplicação padrão para este tipo de ficheiros.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "ScanRegistry"="scanregw.exe /scan"



Os valores das seguintes chaves registo do windows são eliminados:

–  HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • APVXDWIN
   • avast!
   • AVG_CC
   • AVG7_CC
   • AVG7_EMC
   • Avgserv9.exe
   • AVGW
   • BearShare
   • ccApp
   • CleanUp
   • defwatch
   • DownloadAccelerator
   • kaspersky
   • KAVPersonal50
   • McAfeeVirusScanService
   • MCAgentExe
   • McRegWiz
   • MCUpdateExe
   • McVsRte
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • NAV Agent
   • NPROTECT
   • OfficeScanNT Monitor
   • PCCClient.exe
   • pccguide.exe
   • PCCIOMON.exe
   • PCClient.exe
   • PccPfw
   • Pop3trap.exe
   • rtvscn95
   • ScanInicio
   • ScriptBlocking
   • SSDPSRV
   • TM Outbreak Agent
   • tmproxy
   • Vet Alert
   • VetTray
   • VirusScan Online
   • vptray
   • VSOCheckTask

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • APVXDWIN
   • avast!
   • AVG_CC
   • AVG7_CC
   • AVG7_EMC
   • Avgserv9.exe
   • AVGW
   • BearShare
   • ccApp
   • CleanUp
   • defwatch
   • DownloadAccelerator
   • kaspersky
   • KAVPersonal50
   • McAfeeVirusScanService
   • MCAgentExe
   • McRegWiz
   • MCUpdateExe
   • McVsRte
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • NAV Agent
   • NPROTECT
   • OfficeScanNT Monitor
   • PCCClient.exe
   • pccguide.exe
   • PCCIOMON.exe
   • PCClient.exe
   • PccPfw
   • Pop3trap.exe
   • rtvscn95
   • ScanInicio
   • ScriptBlocking
   • SSDPSRV
   • TM Outbreak Agent
   • tmproxy
   • Vet Alert
   • VetTray
   • VirusScan Online
   • vptray
   • VSOCheckTask



O seguinte valor do registo é alterado:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Valor anterior:
   • "WebView""=%definições do utilizador %
   Valor recente:
   • "WebView""=dowrd:00000000

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
–Endereços de e-mail recolhidos do Yahoo! Messenger.
–Endereços de e-mail recolhidos do MSN Messenger.


Assunto:
Um dos seguintes:
   • The Best Videoclip Ever; School girl fantasies gone bad; A Great
      Video; Fuckin Kama Sutra pics; Arab sex DSC-00465.jpg; give me a kiss;
      *Hot Movie*; Fw: Funny :); Fwd: Photo; Fwd: image.jpg; Fwd: Crazy
      illegal Sex!; Fw: Sexy; Re:; Fw:; Fw: Picturs; Fw: DSC-00465.jpg; Word
      file; eBook.pdf; the file; Part 1 of 6 Video clipe; You Must View This
      Videoclip!; Miss Lebanon 2006; Re: Sex Video; My photos; Photos; Fwd:
      image.jpg

Nalguns casos o assunto pode não conter texto.


Corpo:
O corpo do email é um dos seguintes:

   • Note: forwarded message attached.

   • Hot XXX Yahoo Groups

   • Fuckin Kama Sutra pics

   • ready to be FUCKED ;)

   • VIDEOS! FREE! (US$ 0,00)

   • >> forwarded message

   • ----- forwarded message -----

   • i just any one see my photos. It's Free :)

   • hello,
     i send the file.
     bye

   • hi
     i send the details
     bye

   • how are you?
     i send the details.
     OK ?

   • i attached the details.

   • Thank you

   • Please see the file.

   • What?

   • ???????????????????????????? ????????????? ??????
     ???????????


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • DSC-00465.Pif; image04.pif; photo.pif; School.pif; 677.pif; 04.pif;
      eBook.PIF; New_Document_file.pif; 007.pif; document.pif;
      DSC-00465.pIf; Video_part.mim; Attachments[001].B64;
      3.92315089702606E02.UUE; WinZip.BHX; Attachments001.BHX; Sex.mim;
      Original Message.B64; eBook.Uu; Attachments00.HQX; Word_Document.hqx;
      Word_Document.uu

O ficheiro de atalho é uma cópia do malware.



O email pode ser parecido com um dos seguintes:



 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • .HTM; .DBX; .EML; .MSG; .OFT; .NWS; .VCF; .MBX; .IMH; .TXT; .MSF


Resolver nomes de servidores:
Tem a capacidade de contactar o servidor DNS:
   • ns1.%nome de domínio do endereço de e-mail do destinatário%

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia uma cópia de si próprio à seguinte partilha de rede:
   • C$


Usa a seguinte informação de login para ganhar acesso à máquina remota:

– O seguinte nome de utilizador :
   • administrator



Execução remota:
–Tenta programar uma execução remota do malware, na máquina recentemente infectada. Então usa a função de NetScheduleJobAdd.

 Terminar o processo São terminados os processos que contêm um dos titulos seguintes:
   • SYMANTEC
   • SCAN
   • KASPERSKY
   • VIRUS
   • MCAFEE
   • TREND MICRO
   • NORTON
   • REMOVAL
   • FIX


 Backdoor Contacta o servidor:
Seguinte:
   • http://webstats.web.rcn.net/cgi-bin/**********?df=765247

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP GET através de scripts CGI.


Envia informação sobre:
    • Situação actual de malware

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Andrei Ivanes em sexta-feira, 20 de janeiro de 2006
Descrição atualizada por Andrei Gherman em terça-feira, 12 de setembro de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.