Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Womble.D
Data em que surgiu:12/09/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De médio a elevado
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:83.456 Bytes
MD5 checksum:a7eed18c21897e50bbe167b8f438b9af
Versão VDF:6.35.01.212
Versão IVDF:6.35.01.216 - terça-feira, 12 de setembro de 2006

 Vulgarmente Meios de transmissão:
   • E-mail
   • Rede local


Alias:
   •  Symantec: W32.Womble.A@mm
   •  Mcafee: W32/Womble@MM
   •  Kaspersky: Email-Worm.Win32.Womble.d
   •  F-Secure: Email-Worm.Win32.Womble.d


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\%palavras aleatórias%.exe



Cria as seguintes pastas:
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\dvd_info
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\free
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\h_core
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\l_this
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\lunch
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\my_staff
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_mp3
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_video
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\photo
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\sh_docs
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\take_it
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\video
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\xxx



Envia cópias de si mesmo usando um nome das listas seguintes:
– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\dvd_info Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\free Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\h_core Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\l_this Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\lunch Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\my_staff Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_mp3 Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_video Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\photo Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\sh_docs Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\take_it Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\video Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: %HOME%\Local Settings\Application Data\Microsoft\WinTools\xxx Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

– Para: c:\system32\ Usando um dos nomes seguintes:
   • winupdate.exe
   • netupdate.exe
   • winlog.exe
   • winlogin.exe

– Para: %Partilhas de rede% Usando um dos nomes seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif





Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • support.365soft.info/current/**********
Este ficheiro pode conter localizações de descarregamento adicionais e poderá servir como fonte para novas ameaças .

– A partir da seguinte localização:
   • support.365soft.info/current/**********
Este ficheiro pode conter localizações de descarregamento adicionais e poderá servir como fonte para novas ameaças .

– A partir da seguinte localização:
   • support.365soft.info/current/**********
Este ficheiro pode conter localizações de descarregamento adicionais e poderá servir como fonte para novas ameaças .

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • windows_startup=%SYSDIR%\%palavras aleatórias%.exe



São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\WinUpdate]
   • "Version"=dword:00000004

– [HKLM\SOFTWARE\WinUpload]
   • "bot1.exe"=dword:00000002
   • "bot2.exe"=dword:00000002
   • "l.exe"=dword:00000002
   • "t169.exe"=dword:00000002

– [HKCU\Software\Microsoft\WAB\WAB4]
   • "FirstRun"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion]
   • "wmf.1.1"=dword:01c6db12
   • "wmf.1.2"=dword:e8fc9740



Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   • "Userinit"="%SYSDIR%\userinit.exe"
   Valor recente:
   • "Shell"="Explorer.exe%espaços vazios% %SYSDIR%\%palavras aleatórias%.exe"
   • "Userinit"="%SYSDIR%\userinit.exe%espaços vazios% ,%SYSDIR%\%palavras aleatórias%.exe"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é a conta do utilizador do Outlook.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
Um dos seguintes:
   • !!; Action Bush; FIFA; Helo; Hi; important; Incredible!!; info; Kiss;
      Laura; Laura and John; Lola; Look at this!!!; Miss Khan; Nataly; Ola;
      Olympus; Paula; pic; pics; private; private pics; Re:; Re: hi;
      Re:info; RE: pic; read this; Robert; Sex



Corpo:
O corpo do email é o seguinte:

   • Hi !!!
     
     %uma série de caracteres aleatórios%
     
     %uma série de caracteres aleatórios%
     --
     
     Best Regards


Atalho:
Os nomes dos ficheiros de atalhos são construídos a partir dos seguintes:

–  Começa por um dos seguintes:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

Continuado por um dos seguintes:
   • .jpg
   • .doc
   • .txt

    Por vezes continuado por um dos seguintes:
   • .pif
   • .exe
   • .zip
   • .pif.zip
   • .exe.zip

O ficheiro de atalho é uma cópia do malware.



O email pode ser parecido com um dos seguintes:



 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Exploit:
Faz uso dos seguintes Exploits:
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

 Backdoor Contacta o servidor:
Seguintes:
   • support.365soft.info/current/**********
   • support.365soft.info/current/**********
   • support.software602.com/current/**********
   • support.software602.com/current/**********
   • anyproxy.net/current/**********
   • anyproxy.net/current/**********
   • support.enviroweb.org/current/**********
   • support.enviroweb.org/current/**********
   • support.nikontech.com/current/**********
   • support.nikontech.com/current/**********
   • mymail.100hotmail.com/current/**********
   • mymail.100hotmail.com/current/**********
   • server1.mymail.ph/current/**********
   • server1.mymail.ph/current/**********
   • mymail.bokee.com/current/**********
   • mymail.bokee.com/current/**********
   • mail.96520.org/current/**********
   • mail.96520.org/current/**********
   • 211.184.55.7/current/**********
   • 211.184.55.7/current/**********
   • update.snowsoft.co.kr/current/**********
   • update.snowsoft.co.kr/current/**********
   • update.wwwmail.org/current/**********
   • update.wwwmail.org/current/**********
   • update.mediaroz.com/current/**********
   • update.mediaroz.com/current/**********
   • update.co.tv/current/**********
   • update.co.tv/current/**********
   • www.3btasarim.com/current/**********
   • www.3btasarim.com/current/**********
   • baishui.info/current/**********
   • baishui.info/current/**********
   • jiji.2tw.info/current/**********
   • jiji.2tw.info/current/**********

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP GET através de scripts PHP.


Envia informação sobre:
    • Situação actual de malware

 Roubos de informação Tenta roubar a seguinte informação:
– Informações da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts

 Informações diversas Ligação à internet:
Para conferir a sua ligação à internet são contatados os seguintes servidores de DNS :
   • *.GTLD-SERVERS.net
   • *.lan.tjhsst.edu


Procura uma ligação de internet contactando o seguinte web site:
   • www.sun.com/index.html


Mutex:
Cria o seguinte Mutex:
   • wmf.mtx.4

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Adriana Popa em sexta-feira, 15 de setembro de 2006
Descrição atualizada por Adriana Popa em segunda-feira, 18 de setembro de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.