VírusWorm/Small.B.3
Data em que surgiu:03/06/2006
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:119.296 Bytes
MD5 checksum:58180E0Dd5ff2df69979336c343e32f0
Versão VDF:6.34.01.182
Versão IVDF:6.34.01.188 - terça-feira, 6 de junho de 2006

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Kaspersky: Email-Worm.Win32.Small.b
   •  TrendMicro: WORM_SMALL.MS
   •  Eset: Win32/PSW.Delf.NAM
   •  Bitdefender: Win32.Olia.A@mm


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega um ficheiro malicioso
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Informação de roubos


Depois de executado é visualizada a seguinte informação:


 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\krnl32.dll
   • %directório de execução do malware%\photos.exe



São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • %SYSDIR%\photo1.jpg
   • %SYSDIR%\photo2.jpg
   • %SYSDIR%\photo3.jpg
   • %definições do utilizador %\photo1.jpg
   • %definições do utilizador %\photo2.jpg
   • %definições do utilizador %\photo3.jpg

%SYSDIR%\krnl32.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Small.B.4

%directório de execução do malware%\~$run.$$$ Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Small.B.4

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\krnl32.exe

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:
Adicionalmente tem a capaiade de enviar um e-mail com informação sobre o sistema. É provável que o destinatário seja o autor.


De:
O remetente do e-mail é um dos seguintes:
   • Olia-muk@rambler.ru
   • ZanOlia@rambler.ru
   • oliechka84@rambler.ru


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
– Endereços gerados


Assunto:
O seguinte:
   • %texto em russo% %data actual% %hora actual%



Corpo:
O corpo do email é o seguinte:
   • %texto em russo%


Atalho:

   • photos.exe

   • photo1.jpg

   • photo2.jpg

   • photo3.jpg


 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • %temporary internet files%\*.htm
   • %temporary internet files%\*.html
   • %temporary internet files%\*.shtml
   • %temporary internet files%\*.phtml
   • %temporary internet files%\*.php
   • %temporary internet files%\*.txt
   • %temporary internet files%\*.pas
   • %temporary internet files%\*.tmp


MX Server:
Não usa o servidor de MX standard.
Tem capacidade para contactar o servidor MX:
   • mail.rambler.ru

 Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave guardadas e que são usadas pela função AutoComplete
– Informações da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– As palavras-chave dos seguintes programas:
   • The Bat!
   • Opera

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com os seguintes empacotadores de runtime
   • ASPack
   • UPX

Descrição enviada por Andrei Gherman em sexta-feira, 9 de junho de 2006
Descrição atualizada por Andrei Gherman em sexta-feira, 9 de junho de 2006

Voltar . . . .