Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Scano.L
Data em que surgiu:27/04/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:18.346 Bytes
MD5 checksum:c6681169cc2f1e40fe3dd47bb49d83f0
Versão VDF:6.34.01.14 - quinta-feira, 27 de abril de 2006
Versão IVDF:6.34.01.14 - quinta-feira, 27 de abril de 2006

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Mcafee: W32/Areses.f
   •  TrendMicro: WORM_BAGLE.EP
   •  Sophos: W32/Bagle-GY
   •  VirusBuster: I-Worm.Scano.H
   •  Eset: Win32/Scano.L
   •  Bitdefender: Win32.Worm.Scano.L

Identificado anteriormente como:
   •  HTML/Drop.Scan.AD.1


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\csrss.exe



Copia-se dentro de um ficheiro para a localização seguinte:
   • %TEMPDIR%\Message.zip




Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://207.46.250.119/g/**********
Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://www.microsoft.com/g/**********
Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://84.22.161.192/s/**********
Ainda em fase de pesquisa.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



Os valores das seguintes chaves registo do windows são eliminados:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
Um dos seguintes:
   • Приветик, как твои дел?
   • ЙЫЛЙ?
   • Привет, ты где?
   • Привет, напиши мне!!!
   • Привет! Срочно напиши м!
   • не!
   • дешь?
   • Re: напиши мне!
   • Re: Позвони мне!
   • Re: Ты где?
   • Re: Когда ты мне ответиш
   • Re: Как настроение?
   • Re: Где пропадаешь?



Corpo:
–  Nalguns casos pode estar vazio.


O corpo do email tem uma das seguintes linhas:
   • Привет! Я сегодня жду те
   • Сегодня в интернете бу
   • Когда мне напишишь?
   • Приветик!!! Как настроен


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

O ficheiro de atalho contém uma cópia do próprio malware.

 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %WINDIR%\csrss.exe

    Todos os processos que se seguem:
   • services.exe
   • svchost.exe


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Irina Boldea em terça-feira, 12 de setembro de 2006
Descrição atualizada por Irina Boldea em terça-feira, 12 de setembro de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.