Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Rays
Data em que surgiu:03/02/2004
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:De mdio a elevado
Nvel de risco:De baixo a mdio
Ficheiro esttico:Sim
Tamanho:49.152 Bytes
MD5 checksum:e8d54b8ac74c2982fad37567b3bd1ced
Verso VDF:6.24.00.34

 Vulgarmente Meios de transmisso:
   • E-mail
   • Rede local


Alias:
   •  Symantec: W32.Wullik@mm
   •  Kaspersky: Email-Worm.Win32.Wukill
   •  TrendMicro: WORM_WUKILL.B
   •  Sophos: W32/Wukill-B
   •  Grisoft: I-Worm/Wukill.B
   •  VirusBuster: virus I-Worm.Wukill.B
   •  Bitdefender: Win32.Rays.A@mm


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows


Depois de executado visualizada a seguinte informao:


 Ficheiros Autocopia-se para as seguintes localizaes
   • %WINDIR%\system\%uma srie de caracteres aleatrios%.exe
   • %WINDIR%\web\%uma srie de caracteres aleatrios%.exe
   • %WINDIR%\fonts\%uma srie de caracteres aleatrios%.exe
   • %WINDIR%\temp\%uma srie de caracteres aleatrios%.exe
   • %WINDIR%\help\%uma srie de caracteres aleatrios%.exe
   • %unidade%:\winfile.exe
   • \%nome da pasta actual%.exe



Envia cpias de si mesmo usando um nome das listas seguintes:
Para: c:\windows Usando um dos nomes seguintes:
   • Mstray.exe
   • MsHelp.exe




So criados os seguintes ficheiros:

– Ficheiro temporrio que poder ser apagado mais tarde:
   • %TEMPDIR%\~%nmero hexadecimal%.tmp

%unidade%:\desktop.ini um ficheiro de texto no malicioso com o seguinte contedo:
   • [.ShellClassInfo]
     HTMLInfoTipFile=file://Comment.htt
     ConfirmFileOp = 0

%unidade%:\comment.htt Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: VBS/Starter.B

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "RavTimeXP"="%directrio de execuo do malware%\%ficheiro executado%"
   • "RavTimXP"="%directrio de execuo do malware%\%ficheiro executado%"



O valor da seguinte chave Registo eliminado:

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "RavTimXP"="%directrio de execuo do malware%\%ficheiro executado%"



Altera as seguintes chaves de registo do Windows:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Hidden"=%definies do utilizador %
   • "HideFileExt"=%definies do utilizador %
   Valor recente:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Valor anterior:
   • "fullpath" = %definies do utilizador %
   Valor recente:
   • "fullpath" = dword:00000001

 E-mail Utiliza o Microsoft Outlook para enviar emails. Tem as seguintes caractersticas:


De:
O endereo do remetente a conta do utilizador do Outlook.


Para:
 Endereos de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
O seguinte:
   • MS-DOS????



Corpo:
– Contm cdigo HTML.
O corpo do email o seguinte:

   • ????????MSDOS?????
     ???????????


Atalho:
O ficheiro de atalho tem o seguinte nome:
   • MShelp.EXE

O ficheiro de atalho uma cpia do malware.



O email pode ser parecido com o seguinte:


 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.

Envia uma cpia de si prprio seguinte partilha de rede:
   •

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em Visual Basic.

Descrição enviada por Daniel Constantin em segunda-feira, 13 de março de 2006
Descrição atualizada por Andrei Gherman em sexta-feira, 24 de abril de 2009

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.