Full description

Vírus	Worm/KillAV.GR
Número CME:	24
Data em que surgiu:	19/01/2006
Tipo:	Worm
Incluído na lista "In The Wild"	Sim
Nível de danos:	De baixo a médio
Nível de distribuição:	De médio a elevado
Nível de risco:	Médio
Ficheiro estático:	Não
Tamanho:	~100.000 Bytes
Versão VDF:	6.33.00.140

Vulgarmente Meios de transmissão:
   • E-mail
   • Rede local

Alias:
   • Symantec: W32.Blackmal.E@mm
   • Mcafee: W32/MyWife.d@MM!M24
   • Kaspersky: Email-Worm.Win32.Nyxem.e
   • TrendMicro: WORM_GREW.A
   • F-Secure: Email-Worm.Win32.Nyxem.e
   • Sophos: W32/Nyxem-D
   • Panda: W32/Tearec.A.worm
   • Grisoft: Worm/Generic.FX
   • VirusBuster: Worm.P2P.VB.CIL
   • Bitdefender: Win32.Nyxem.E@mm

Identificado anteriormente como:
   • TR/KillAV.GR

Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Desactiva aplicações de segurança
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows

Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\Rundll16.exe
   • %WINDIR%\sytem32\scanregw.exe
   • %WINDIR%\sytem32\Update.exe
   • %WINDIR%\sytem32\Winzip.exe

Altera o conteúdo dos ficheiros seguintes.
A sincronização da hora incluída no código do vírus activa-se automaticamente depois de: Se o dia tiver o seguinte valor: 3

– %todas as pastas%

Extensão dos ficheiros:
   • .doc
   • .xls
   • .mdb
   • .mde
   • .ppt
   • .pps
   • .zip
   • .rar
   • .pdf
   • .psd
   • .dmp

Com os conteúdos seguintes:
   • DATA Error [47 0F 94 93 F4 K5]

Elimina os seguintes ficheiros:
   • %PROGRAM FILES%\*.htm*
   • %PROGRAM FILES%\DAP\*.dll
   • %PROGRAM FILES%\BearShare\*.dll
   • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
   • %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
   • %PROGRAM FILES%\Norton AntiVirus\*.exe
   • %PROGRAM FILES%\Alwil Software\Avast4\*.exe
   • %PROGRAM FILES%\McAfee.com\VSO\*.exe
   • %PROGRAM FILES%\McAfee.com\Agent\*.*
   • %PROGRAM FILES%\McAfee.com\shared\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
   • %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
   • %PROGRAM FILES%\NavNT\*.exe
   • %PROGRAM FILES%\Morpheus\*.dll
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
   • %PROGRAM FILES%\Grisoft\AVG7\*.dll
   • %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
   • %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
   • %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar

É criado o seguinte ficheiro:

– %SYSDIR%\%ficheiro executado%.zip É aberto usando a aplicação padrão para este tipo de ficheiros.

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "ScanRegistry"="scanregw.exe /scan"

Os valores das seguintes chaves registo do windows são eliminados:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • APVXDWIN
   • avast!
   • AVG_CC
   • AVG7_CC
   • AVG7_EMC
   • Avgserv9.exe
   • AVGW
   • BearShare
   • ccApp
   • CleanUp
   • defwatch
   • DownloadAccelerator
   • kaspersky
   • KAVPersonal50
   • McAfeeVirusScanService
   • MCAgentExe
   • McRegWiz
   • MCUpdateExe
   • McVsRte
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • NAV Agent
   • NPROTECT
   • OfficeScanNT Monitor
   • PCCClient.exe
   • pccguide.exe
   • PCCIOMON.exe
   • PCClient.exe
   • PccPfw
   • Pop3trap.exe
   • rtvscn95
   • ScanInicio
   • ScriptBlocking
   • SSDPSRV
   • TM Outbreak Agent
   • tmproxy
   • Vet Alert
   • VetTray
   • VirusScan Online
   • vptray
   • VSOCheckTask

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • APVXDWIN
   • avast!
   • AVG_CC
   • AVG7_CC
   • AVG7_EMC
   • Avgserv9.exe
   • AVGW
   • BearShare
   • ccApp
   • CleanUp
   • defwatch
   • DownloadAccelerator
   • kaspersky
   • KAVPersonal50
   • McAfeeVirusScanService
   • MCAgentExe
   • McRegWiz
   • MCUpdateExe
   • McVsRte
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • NAV Agent
   • NPROTECT
   • OfficeScanNT Monitor
   • PCCClient.exe
   • pccguide.exe
   • PCCIOMON.exe
   • PCClient.exe
   • PccPfw
   • Pop3trap.exe
   • rtvscn95
   • ScanInicio
   • ScriptBlocking
   • SSDPSRV
   • TM Outbreak Agent
   • tmproxy
   • Vet Alert
   • VetTray
   • VirusScan Online
   • vptray
   • VSOCheckTask

O seguinte valor do registo é alterado:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Valor anterior:
   • "WebView""=%definições do utilizador %
   Valor recente:
   • "WebView""=dowrd:00000000

E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:

Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
–Endereços de e-mail recolhidos do Yahoo! Messenger.
–Endereços de e-mail recolhidos do MSN Messenger.

Assunto:
Um dos seguintes:
   • The Best Videoclip Ever; School girl fantasies gone bad; A Great
      Video; Fuckin Kama Sutra pics; Arab sex DSC-00465.jpg; give me a kiss;
      *Hot Movie*; Fw: Funny :); Fwd: Photo; Fwd: image.jpg; Fwd: Crazy
      illegal Sex!; Fw: Sexy; Re:; Fw:; Fw: Picturs; Fw: DSC-00465.jpg; Word
      file; eBook.pdf; the file; Part 1 of 6 Video clipe; You Must View This
      Videoclip!; Miss Lebanon 2006; Re: Sex Video; My photos; Photos; Fwd:
      image.jpg

Nalguns casos o assunto pode não conter texto.

Corpo:
O corpo do email é um dos seguintes:

   • Note: forwarded message attached.

   • Hot XXX Yahoo Groups

   • Fuckin Kama Sutra pics

   • ready to be FUCKED ;)

   • VIDEOS! FREE! (US$ 0,00)

   • >> forwarded message

   • ----- forwarded message -----

   • i just any one see my photos. It's Free :)

   • hello,
     i send the file.
     bye

   • hi
     i send the details
     bye

   • how are you?
     i send the details.
     OK ?

   • i attached the details.

   • Thank you

   • Please see the file.

   • What?

   • ???????????????????????????? ????????????? ??????
     ???????????

Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • DSC-00465.Pif; image04.pif; photo.pif; School.pif; 677.pif; 04.pif;
      eBook.PIF; New_Document_file.pif; 007.pif; document.pif;
      DSC-00465.pIf; Video_part.mim; Attachments[001].B64;
      3.92315089702606E02.UUE; WinZip.BHX; Attachments001.BHX; Sex.mim;
      Original Message.B64; eBook.Uu; Attachments00.HQX; Word_Document.hqx;
      Word_Document.uu

O ficheiro de atalho é uma cópia do malware.

O email pode ser parecido com um dos seguintes:

Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
• .HTM; .DBX; .EML; .MSG; .OFT; .NWS; .VCF; .MBX; .IMH; .TXT; .MSF

Resolver nomes de servidores:
Tem a capacidade de contactar o servidor DNS:
• ns1.%nome de domínio do endereço de e-mail do destinatário%

Infecção da rede Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia uma cópia de si próprio à seguinte partilha de rede:
• C$

Usa a seguinte informação de login para ganhar acesso à máquina remota:

– O seguinte nome de utilizador :
• administrator

Execução remota:
–Tenta programar uma execução remota do malware, na máquina recentemente infectada. Então usa a função de NetScheduleJobAdd.

Terminar o processo São terminados os processos que contêm um dos titulos seguintes:
   • SYMANTEC
   • SCAN
   • KASPERSKY
   • VIRUS
   • MCAFEE
   • TREND MICRO
   • NORTON
   • REMOVAL
   • FIX

Backdoor Contacta o servidor:
Seguinte:
• http://webstats.web.rcn.net/cgi-bin/**********?df=765247

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP GET através de scripts CGI.

Envia informação sobre:
• Situação actual de malware

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Visual Basic.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Andrei Ivanes em sexta-feira, 20 de janeiro de 2006
Descrição atualizada por Andrei Gherman em terça-feira, 12 de setembro de 2006

Voltar . . . .