VírusWorm/VB.DW
Data em que surgiu:16/02/2006
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:210.432 Bytes
MD5 checksum:b420a430d733a3a1d8b27e71f78590e1
Versão VDF:6.33.01.01

 Vulgarmente Meio de transmissão:
   • Peer to Peer


Alias:
   •  Kaspersky: P2P-Worm.Win32.VB.dw
   •  Bitdefender: Trojan.Dropper.G


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows


Depois de executado é visualizada a seguinte informação:





   %internet resource used by malware%:
   
   • www.torrentz.com
   • www.download.com
   • www.mininova.com

 Ficheiros Autocopia-se para as seguintes localizações
   • %PROGRAM FILES%\outlook\outlook.exe
   • %PROGRAM FILES%\outlook\v.tmp



Copia-se dentro de um ficheiro para a localização seguinte:
   • %PROGRAM FILES%\outlook\p.zip



Altera o conteúdo dos ficheiros seguintes.
%SYSDIR%\netstat.exe
%SYSDIR%\ping.exe
%SYSDIR%\tracert.exe
%SYSDIR%\tasklist.exe
%SYSDIR%\taskkill.exe
%SYSDIR%\regedit.exe
%SYSDIR%\cmd.exe



São criados os seguintes ficheiros:

– Ficheiro não malicioso:
   • %SYSDIR%\bszip.dll

%raiz da unidade de sistema%\onoes.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/RBot.174080




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %PROGRAM FILES%\LimeWire\LimeWire.exe
   • %PROGRAM FILES%\Morpheus\morpheus.exe
   • %PROGRAM FILES%\Morpheus Ultra\morpheus.exe
   • %PROGRAM FILES%\BearShare\BearShare.exe
   • %PROGRAM FILES%\Shareaza\Shareaza.exe

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • outlook = %PROGRAM FILES%\outlook\outlook.exe /auto

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção:


Procura o seguintes directórios:
   • %Directório partilhado pelo BearShare%
   • %Directório partilhado LimeWire%
   • %ficheiro partilhado pelo Morpheus%
   • %Directório partilhado pelo Morpheus Ultra%
   • %Directório partilhado pelo Shareaza%

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • %Directório partilhado pelo BearShare%\Shared\%recolhido na Internet%.zip
   • %Directório partilhado LimeWire%\Shared\%recolhido na Internet%.zip
   • %ficheiro partilhado pelo Morpheus%\Shared\%recolhido na Internet%.zip
   • %Directório partilhado pelo Morpheus Ultra%\Shared\%recolhido na Internet%.zip
   • %Directório partilhado pelo Shareaza%\Shared\%recolhido na Internet%.zip

   O ficheiro comprimido contém uma cópia do malware.

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Andrei Gherman em quarta-feira, 12 de abril de 2006
Descrição atualizada por Andrei Gherman em quarta-feira, 12 de abril de 2006

Voltar . . . .