Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Womble.A
Data em que surgiu:29/08/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Médio
Nível de distribuição:De médio a elevado
Nível de risco:Médio
Ficheiro estático:Não
Tamanho:79.360 Bytes
Versão VDF:6.35.01.156
Versão IVDF:6.35.01.159 - quarta-feira, 30 de agosto de 2006
Heurístico:HEUR/Crypted.Patched

 Vulgarmente Meios de transmissão:
   • E-mail
   • Rede local


Alias:
   •  Symantec: W32.Womble.A@mm
   •  Kaspersky: Email-Worm.Win32.Womble.a
   •  TrendMicro: WORM_WOMBLE.A
   •  Sophos: W32/Womble-B
   •  VirusBuster: iworm I-Worm.Womble.A
   •  Bitdefender: Win32.Womble.A@mm


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso não autorizado ao computador




   %text1%:
   -about_windows
   -antispam
   -congratulations
   -firefox_update
   -free_anti_spyware
   -free_antivirus
   -google_info
   -google_tool
   -google_update
   -ie_update
   -java_update
   -inet
   -mail_control
   -mails_list
   -ms_office_update
   -net_update
   -new_picture
   -new_win_patch
   -picture
   -remove_spyware
   -some_info
   -www
   -yahoo_info
   -yahoo_tool
   -your_friends
   
   %text2%:
   -dvd
   -dvd_info
   -free
   -h_core
   -l_this
   -lunch
   -mp3
   -new_mp3
   -new_video
   -photo
   -sh_docs
   -take_it
   -video
   -xxx

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\%ficheiro executado%
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.exe
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.pif
   • \\%computadores no domínio actual%\%Partilhas de rede%\%text1%.exe
   • \\%computadores no domínio actual%\%Partilhas de rede%\%text1%.pif



São criados os seguintes ficheiros:

– %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.wmf Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: EXP/MS06-001.WMF

– %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.jpg Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: EXP/MS06-001.WMF

– \\%computadores no domínio actual%\%Partilhas de rede%\%text1%.wmf Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: EXP/MS06-001.WMF

– \\%computadores no domínio actual%\%Partilhas de rede%\%text1%.jpg Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: EXP/MS06-001.WMF

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe %espaços vazios% %SYSDIR%\%ficheiro executado%"
   • "Userinit"="%SYSDIR%\userinit.exe %espaços vazios% ,%SYSDIR%\%ficheiro executado%"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ms_net_update"="%SYSDIR%\%ficheiro executado%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ms_net_update"="%SYSDIR%\%ficheiro executado%"



São adicionadas as seguintes chaves ao registo:

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares]
   • "%text2%"=
"CSCFlags=0
MaxUses=1000
Path=%HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%
Permissions=127
Type=0"

– [HKLM\SOFTWARE\WinUpdate]
   • "Version"=dword:00000003

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é a conta do utilizador do Outlook.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
Um dos seguintes:
   • !!; Action; Bush; FIFA; Helo; Hi; important; Incredible!!; info; Kiss;
      Laura; Laura and John; Lola; Look at this!!!; Miss Khan; Nataly; Ola;
      Olympus; Paula; pic; pics; private; private pics; Re:; Re: hi; Re:
      info; RE: pic; read this; Robert; Sex



Corpo:
O corpo do email é um dos seguintes:

   • ---------------------------------------------------
     
     There is some info in the attached file !!!
     
     ---------------------------------------------------
     

   • -----------------------------
     
     Zip P A S S : %nove caracteres aleatórios%
     
     -----------------------------
     


Atalho:
Os nomes dos ficheiros de atalhos são construídos a partir dos seguintes:

–  Começa por um dos seguintes:
   • %text%

Continuado por um dos seguintes:
   • exe
   • pif

    Continuado por um dos seguintes:
   • zip

–  Começa por um dos seguintes:
   • %text1%

Continuado por um dos seguintes:
   • exe
   • jpg
   • pif
   • wmf

    Continuado por um dos seguintes:
   • passw
   • psw

    Continua com uma das seguintes extensões falsas:
   • zip

O ficheiro de atalho contém uma cópia do próprio malware.

O ficheiro de atalho é uma cópia do ficheiro criado: %text1%.jpg; %text1%.wmf



O email pode ser parecido com um dos seguintes:



 Backdoor Contacta o servidor:
Seguintes:
   • http://support.365soft.info/**********
   • http://support.365soft.info/**********
   • http://support.software602.com/**********
   • http://support.software602.com/**********
   • http://anyproxy.net/**********
   • http://anyproxy.net/**********
   • http://support.enviroweb.org/**********
   • http://support.enviroweb.org/**********
   • http://support.nikontech.com/**********
   • http://support.nikontech.com/**********
   • http://email-support.seekful.com/**********
   • http://email-support.seekful.com/**********
   • http://mymail.100hotmail.com/**********
   • http://mymail.100hotmail.com/**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Isto é feito usando o método HTTP GET através de scripts PHP.


Envia informação sobre:
    • Situação actual de malware


Capacidades de controlo remoto:
    • Download de ficheiros

 Informações diversas Ligação à internet:
Para conferir a sua ligação à internet são contatados os seguintes servidores de DNS :
   • *.GTLD-SERVERS.net
   • *.root-servers.net
   • *.DE.NET
   • *.NIC.DE


Procura uma ligação de internet contactando o seguinte web site:
   • http://www.sun.com/index.html


Mutex:
Cria o seguinte Mutex:
   • wmf.mtx.3

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Andrei Ivanes em terça-feira, 29 de agosto de 2006
Descrição atualizada por Andrei Ivanes em quinta-feira, 31 de agosto de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.