Precisa consertar seu PC?
Contrate um especialista
VírusWorm/Soccer.A.1
Data em que surgiu:19/06/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:39.904 Bytes
MD5 checksum:18dae171a9bd885fbc83e89af23d0072
Versão VDF:6.35.00.43
Versão IVDF:6.35.00.50 - quarta-feira, 21 de junho de 2006
Heurístico:HEUR/Malware.Crypted.PSM

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Kaspersky: Email-Worm.Win32.Delf.v
   •  Sophos: W32/Sixem-A
   •  VirusBuster: I-Worm.Delf.QWI


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\msctools.exe



São criados os seguintes ficheiros:

– Ficheiro que contém uma colecção de endereços de email:
   • %SYSDIR%\cats2.jpg

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %SYSDIR%\cats.jpg




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://couplesexxx.com/tumbs/**********
Encontra-se no disco rígido: %TEMPDIR%\temps%vários dígitos aleatórios%.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Delf.apo

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "nsdevice"="%SYSDIR%\msctools.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "nsdevice"="%SYSDIR%\msctools.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "nsdevice"="%SYSDIR%\msctools.exe"



É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL]
   • "mls"="%número% "

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.


Formato do email:



De: newsreader@hotmail.com
Assunto: Naked World Cup game set
Body:
   • Nudists are organising their own tribute to the world cup, by staging their own nude soccer game, though it is not clear how the teams will tell each other apart. Good photos ;)
Atalho:
   • soccer_nudist.bmp.exe



De: todaynews@cnn.com
Assunto: Crazy soccer fans
Body:
   • Crazy soccer fans killed two teens, watch what they make on photos. Please report on this all who know.
Atalho:
   • soccer_pics.jpg.exe



De: kellyjast@hotmail.com
Assunto: Please reply me Tomas
Body:
   • Halo Markus, i sent my nude pics. Please reply me with you nude photos ;). Best regard You Sweet Kitty
Atalho:
   • kelly_nude_imgs.jpg.exe



De: hotnews@cnn.com
Assunto: Soccer fans killed five teens
Body:
   • Soccer fans killed five teens, watch what they make on photos. Please report on this all who know.
Atalho:
   • soccer_fans.jpg.exe



De: lindasal@gmail.com
Assunto: My tricks for you
Body:
   • I wait you photos from New York. I sent my pics where i naked for you. Please reply me. Linda Salivan
Atalho:
   • linda_bigtit.gif.exe

O ficheiro de atalho é uma cópia do malware.



O email pode ser parecido com um dos seguintes:




 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • wab; adb; msg; dbx; mbx; mdx; eml; nch; txt; tbb; tbi; html; htm; xml;
      doc; rtf; xls; sht


Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • abuse; admin; webmaster; support; submit; service; sendmail; secur;
      samples; ripe.; privacy; postmaster; panda; nothing; nodomai; nobody;
      mydomai; mozilla; linux; kernel; inpris; icrosof; ibm.com; google;
      example; contact; certific; borlan; berkeley; anyone; policy; apache;
      webmin; webmist; random; local; anonymous; addres; defend; kaspersk;
      mcafee; microsof; norton; symantec; virus; reply; report

 Terminar o processo A seguinte lista de processos são terminados:
   • _AVP32.EXE; _AVPCC.EXE; _AVPM.EXE; AVP32.EXE; AVPCC.EXE; AVPM.EXE;
      AVP.EXE; iamapp.exe; iamserv.exe; FRW.EXE; blackice.exe; blackd.exe;
      zonealarm.exe; vsmon.exe; VSHWIN32.EXE; VSECOMR.EXE; WEBSCANX.EXE;
      AVCONSOL.EXE; VSSTAT.EXE; OUTPOST.EXE; REGEDIT.EXE; NETSTAT.EXE;
      TASKMGR.EXE; MSCONFIG.EXE; NAVAPW32.EXE; NAVW32.EXE; UPDATE.EXE


 Backdoor Contacta o servidor:
Seguinte:
   • http://sextraf.com/ms/**********

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP POST através de scripts PHP.


Envia informação sobre:
    • Endereços de E-mail recolhidos

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • FSG

Descrição enviada por Victor Tone em segunda-feira, 19 de junho de 2006
Descrição atualizada por Andrei Ivanes em quarta-feira, 21 de junho de 2006

Voltar . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Todos os direitos reservados.

Minha Conta

https:// Esta janela é criptografada para sua segurança.