VírusWorm/VB.CM.16
Data em que surgiu:08/08/2006
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:265.647 Bytes
MD5 checksum:d446896360493dccba3463482ec11a4f
Versão VDF:6.35.01.62 - terça-feira, 8 de agosto de 2006
Versão IVDF:6.35.01.62 - terça-feira, 8 de agosto de 2006

 Vulgarmente Meios de transmissão:
   • Rede local
   • Peer to Peer


Alias:
   •  Kaspersky: P2P-Worm.Win32.VB.cm
   •  Bitdefender: Win32.Worm.VB.CE


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\ircbot.exe



Altera o conteúdo dos ficheiros seguintes.
– \\%computadores no domínio actual%\%Partilhas de rede%\%todas as subpastas% \

Extensão do ficheiro:
   • exe

Com os conteúdos seguintes:
   • %ficheiro executado%




Copia os seguintes ficheiros:
    •  \\%computadores no domínio actual%\%Partilhas de rede%\%todas as subpastas% \*.exe Para: \\%computadores no domínio actual%\%Partilhas de rede%\%todas as subpastas% \*.exe.bak



Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

– Ficheiro não malicioso:
   • %SYSDIR%\Mswinsck.ocx

%directório de execução do malware%\Kill.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.
%WINDIR%\Lvcomx.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Drp.VB.CJ.4

%WINDIR%\infect.bat

 Registry (Registo do Windows) É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\ProductName\ProductID]

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção:


Procura o seguintes directórios:
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\
   • %PROGRAM FILES%\LimeWire\Shared\
   • %PROGRAM FILES%\BearShare\Shared\
   • %PROGRAM FILES%\Morpheus\My Shared Folder\
   • %PROGRAM FILES%\Grokster\My Grokster\

   Obtém a pasta partilhada examinando a chave de registo seguinte:
   • HKLM\SOFTWARE\Kazaa\LocalContent\DownloadDir

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • VB6+Crack.zip.exe
   • (Hot)CamStrip.mpg.exe
   • TrojanScanPro.exe
   • (Hot)sex ,f**k ,a**l ,wet p***y ,f**ked hard ,de*****oat ,blo**ob ,phat a** ,a** f**k.mpg.exe
   • WoW - World of Warcraft FULL + crack.exe
   • Half Life 2 cd key generator + Crack.exe
   • Britney spears - In the zone FULL ALBUM.zip.exe
   • Windows Longhorn full + crack.exe
   • Jenna jameson hard d***y style s*x.avi.exe
   • TJenna jameson hard d***y style s*x.avi.exe

   Os ficheiros são cópias do próprio malware.

 IRC Propagação:
Tenta localizar o directório de instalação do mIRC. Procura os seguintes caminhos:
   • %raiz da unidade de sistema%\mirc
   • %raiz da unidade de sistema%\mirc32

– Cria um ficheiro chamado script.ini para difundir uma cópia de si mesmo por IRC.

 Informações diversas Ligação à internet:

Examina com o seguinte nome:
   • www.google.com

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Daniel Constantin em quinta-feira, 10 de agosto de 2006
Descrição atualizada por Daniel Constantin em segunda-feira, 14 de agosto de 2006

Voltar . . . .