Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Womble.D
Data em que surgiu:12/09/2006
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:De mdio a elevado
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:83.456 Bytes
MD5 checksum:a7eed18c21897e50bbe167b8f438b9af
Verso VDF:6.35.01.212
Verso IVDF:6.35.01.216 - terça-feira, 12 de setembro de 2006

 Vulgarmente Meios de transmisso:
   • E-mail
   • Rede local


Alias:
   •  Symantec: W32.Womble.A@mm
   •  Mcafee: W32/Womble@MM
   •  Kaspersky: Email-Worm.Win32.Womble.d
   •  F-Secure: Email-Worm.Win32.Womble.d


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Utiliza o seu prprio motor de E-mail
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\%palavras aleatrias%.exe



Cria as seguintes pastas:
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\dvd_info
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\free
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\h_core
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\l_this
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\lunch
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\my_staff
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_mp3
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_video
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\photo
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\sh_docs
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\take_it
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\video
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\xxx



Envia cpias de si mesmo usando um nome das listas seguintes:
Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\dvd_info Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\free Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\h_core Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\l_this Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\lunch Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\my_staff Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_mp3 Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_video Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\photo Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\sh_docs Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\take_it Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\video Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\xxx Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

Para: c:\system32\ Usando um dos nomes seguintes:
   • winupdate.exe
   • netupdate.exe
   • winlog.exe
   • winlogin.exe

Para: %Partilhas de rede% Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif





Tenta efectuar o download de alguns ficheiros:

A partir da seguinte localizao:
   • support.365soft.info/current/**********
Este ficheiro pode conter localizaes de descarregamento adicionais e poder servir como fonte para novas ameaas .

A partir da seguinte localizao:
   • support.365soft.info/current/**********
Este ficheiro pode conter localizaes de descarregamento adicionais e poder servir como fonte para novas ameaas .

A partir da seguinte localizao:
   • support.365soft.info/current/**********
Este ficheiro pode conter localizaes de descarregamento adicionais e poder servir como fonte para novas ameaas .

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • windows_startup=%SYSDIR%\%palavras aleatrias%.exe



So adicionadas as seguintes chaves ao registo:

[HKLM\SOFTWARE\WinUpdate]
   • "Version"=dword:00000004

[HKLM\SOFTWARE\WinUpload]
   • "bot1.exe"=dword:00000002
   • "bot2.exe"=dword:00000002
   • "l.exe"=dword:00000002
   • "t169.exe"=dword:00000002

[HKCU\Software\Microsoft\WAB\WAB4]
   • "FirstRun"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion]
   • "wmf.1.1"=dword:01c6db12
   • "wmf.1.2"=dword:e8fc9740



Altera as seguintes chaves de registo do Windows:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   • "Userinit"="%SYSDIR%\userinit.exe"
   Valor recente:
   • "Shell"="Explorer.exe%espaos vazios% %SYSDIR%\%palavras aleatrias%.exe"
   • "Userinit"="%SYSDIR%\userinit.exe%espaos vazios% ,%SYSDIR%\%palavras aleatrias%.exe"

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


De:
O endereo do remetente a conta do utilizador do Outlook.


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.
 Endereos de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
Um dos seguintes:
   • !!; Action Bush; FIFA; Helo; Hi; important; Incredible!!; info; Kiss;
      Laura; Laura and John; Lola; Look at this!!!; Miss Khan; Nataly; Ola;
      Olympus; Paula; pic; pics; private; private pics; Re:; Re: hi;
      Re:info; RE: pic; read this; Robert; Sex



Corpo:
O corpo do email o seguinte:

   • Hi !!!
     
     %uma srie de caracteres aleatrios%
     
     %uma srie de caracteres aleatrios%
     --
     
     Best Regards


Atalho:
Os nomes dos ficheiros de atalhos so construdos a partir dos seguintes:

–  Comea por um dos seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

Continuado por um dos seguintes:
   • .jpg
   • .doc
   • .txt

    Por vezes continuado por um dos seguintes:
   • .pif
   • .exe
   • .zip
   • .pif.zip
   • .exe.zip

O ficheiro de atalho uma cpia do malware.



O email pode ser parecido com um dos seguintes:



 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.


Exploit:
Faz uso dos seguintes Exploits:
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

 Backdoor Contacta o servidor:
Seguintes:
   • support.365soft.info/current/**********
   • support.365soft.info/current/**********
   • support.software602.com/current/**********
   • support.software602.com/current/**********
   • anyproxy.net/current/**********
   • anyproxy.net/current/**********
   • support.enviroweb.org/current/**********
   • support.enviroweb.org/current/**********
   • support.nikontech.com/current/**********
   • support.nikontech.com/current/**********
   • mymail.100hotmail.com/current/**********
   • mymail.100hotmail.com/current/**********
   • server1.mymail.ph/current/**********
   • server1.mymail.ph/current/**********
   • mymail.bokee.com/current/**********
   • mymail.bokee.com/current/**********
   • mail.96520.org/current/**********
   • mail.96520.org/current/**********
   • 211.184.55.7/current/**********
   • 211.184.55.7/current/**********
   • update.snowsoft.co.kr/current/**********
   • update.snowsoft.co.kr/current/**********
   • update.wwwmail.org/current/**********
   • update.wwwmail.org/current/**********
   • update.mediaroz.com/current/**********
   • update.mediaroz.com/current/**********
   • update.co.tv/current/**********
   • update.co.tv/current/**********
   • www.3btasarim.com/current/**********
   • www.3btasarim.com/current/**********
   • baishui.info/current/**********
   • baishui.info/current/**********
   • jiji.2tw.info/current/**********
   • jiji.2tw.info/current/**********

Como resultado pode enviar alguma informao. Isto feito usando o mtodo HTTP GET atravs de scripts PHP.


Envia informao sobre:
     Situao actual de malware

 Roubos de informao Tenta roubar a seguinte informao:
 Informaes da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts

 Informaes diversas Ligao internet:
Para conferir a sua ligao internet so contatados os seguintes servidores de DNS :
   • *.GTLD-SERVERS.net
   • *.lan.tjhsst.edu


Procura uma ligao de internet contactando o seguinte web site:
   • www.sun.com/index.html


Mutex:
Cria o seguinte Mutex:
   • wmf.mtx.4

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Adriana Popa em sexta-feira, 15 de setembro de 2006
Descrição atualizada por Adriana Popa em segunda-feira, 18 de setembro de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.