Full description

Vírus	Worm/Womble.A
Data em que surgiu:	29/08/2006
Tipo:	Worm
Incluído na lista "In The Wild"	Sim
Nível de danos:	Médio
Nível de distribuição:	De médio a elevado
Nível de risco:	Médio
Ficheiro estático:	Não
Tamanho:	79.360 Bytes
Versão VDF:	6.35.01.156
Versão IVDF:	6.35.01.159 - quarta-feira, 30 de agosto de 2006
Heurístico:	HEUR/Crypted.Patched

Vulgarmente Meios de transmissão:
   • E-mail
   • Rede local

Alias:
   • Symantec: W32.Womble.A@mm
   • Kaspersky: Email-Worm.Win32.Womble.a
   • TrendMicro: WORM_WOMBLE.A
   • Sophos: W32/Womble-B
   • VirusBuster: iworm I-Worm.Womble.A
   • Bitdefender: Win32.Womble.A@mm

Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso não autorizado ao computador

   %text1%:
   -about_windows
   -antispam
   -congratulations
   -firefox_update
   -free_anti_spyware
   -free_antivirus
   -google_info
   -google_tool
   -google_update
   -ie_update
   -java_update
   -inet
   -mail_control
   -mails_list
   -ms_office_update
   -net_update
   -new_picture
   -new_win_patch
   -picture
   -remove_spyware
   -some_info
   -www
   -yahoo_info
   -yahoo_tool
   -your_friends

   %text2%:
   -dvd
   -dvd_info
   -free
   -h_core
   -l_this
   -lunch
   -mp3
   -new_mp3
   -new_video
   -photo
   -sh_docs
   -take_it
   -video
   -xxx

Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\%ficheiro executado%
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.exe
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.pif
   • \\%computadores no domínio actual%\%Partilhas de rede%\%text1%.exe
   • \\%computadores no domínio actual%\%Partilhas de rede%\%text1%.pif

São criados os seguintes ficheiros:

– %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.wmf Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: EXP/MS06-001.WMF

– %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.jpg Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: EXP/MS06-001.WMF

– \\%computadores no domínio actual%\%Partilhas de rede%\%text1%.wmf Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: EXP/MS06-001.WMF

– \\%computadores no domínio actual%\%Partilhas de rede%\%text1%.jpg Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: EXP/MS06-001.WMF

Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe %espaços vazios% %SYSDIR%\%ficheiro executado%"
   • "Userinit"="%SYSDIR%\userinit.exe %espaços vazios% ,%SYSDIR%\%ficheiro executado%"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ms_net_update"="%SYSDIR%\%ficheiro executado%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ms_net_update"="%SYSDIR%\%ficheiro executado%"

São adicionadas as seguintes chaves ao registo:

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares]
   • "%text2%"=
"CSCFlags=0
MaxUses=1000
Path=%HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%
Permissions=127
Type=0"

– [HKLM\SOFTWARE\WinUpdate]
   • "Version"=dword:00000003

E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:

De:
O endereço do remetente é a conta do utilizador do Outlook.

Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).

Assunto:
Um dos seguintes:
   • !!; Action; Bush; FIFA; Helo; Hi; important; Incredible!!; info; Kiss;
      Laura; Laura and John; Lola; Look at this!!!; Miss Khan; Nataly; Ola;
      Olympus; Paula; pic; pics; private; private pics; Re:; Re: hi; Re:
      info; RE: pic; read this; Robert; Sex

Corpo:
O corpo do email é um dos seguintes:

   • ---------------------------------------------------

     There is some info in the attached file !!!

     ---------------------------------------------------


   • -----------------------------

     Zip P A S S : %nove caracteres aleatórios%

     -----------------------------


Atalho:
Os nomes dos ficheiros de atalhos são construídos a partir dos seguintes:

– Começa por um dos seguintes:
   • %text%

Continuado por um dos seguintes:
   • exe
   • pif

    Continuado por um dos seguintes:
   • zip

– Começa por um dos seguintes:
   • %text1%

Continuado por um dos seguintes:
   • exe
   • jpg
   • pif
   • wmf

    Continuado por um dos seguintes:
   • passw
   • psw

    Continua com uma das seguintes extensões falsas:
   • zip

O ficheiro de atalho contém uma cópia do próprio malware.

O ficheiro de atalho é uma cópia do ficheiro criado: %text1%.jpg; %text1%.wmf

O email pode ser parecido com um dos seguintes:

Backdoor Contacta o servidor:
Seguintes:
   • http://support.365soft.info/**********
   • http://support.365soft.info/**********
   • http://support.software602.com/**********
   • http://support.software602.com/**********
   • http://anyproxy.net/**********
   • http://anyproxy.net/**********
   • http://support.enviroweb.org/**********
   • http://support.enviroweb.org/**********
   • http://support.nikontech.com/**********
   • http://support.nikontech.com/**********
   • http://email-support.seekful.com/**********
   • http://email-support.seekful.com/**********
   • http://mymail.100hotmail.com/**********
   • http://mymail.100hotmail.com/**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Isto é feito usando o método HTTP GET através de scripts PHP.

Envia informação sobre:
    • Situação actual de malware

Capacidades de controlo remoto:
    • Download de ficheiros

Informações diversas Ligação à internet:
Para conferir a sua ligação à internet são contatados os seguintes servidores de DNS :
   • *.GTLD-SERVERS.net
   • *.root-servers.net
   • *.DE.NET
   • *.NIC.DE

Procura uma ligação de internet contactando o seguinte web site:
   • http://www.sun.com/index.html

Mutex:
Cria o seguinte Mutex:
   • wmf.mtx.3

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• UPX

Descrição enviada por Andrei Ivanes em terça-feira, 29 de agosto de 2006
Descrição atualizada por Andrei Ivanes em quinta-feira, 31 de agosto de 2006

Voltar . . . .

Produtos em destaque

Mais produtos

Produtos mais populares

Todos os produtos

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas

Produtos em destaque

Mais produtos

Produtos mais populares

Todos os produtos

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas