VírusWorm/MSH.Skowor.A
Data em que surgiu:18/09/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Médio
Nível de risco:De médio a elevado
Ficheiro estático:Sim
Tamanho:17.172 Bytes
MD5 checksum:97221d7994d1f08d8da65c0Cddad43ff
Versão VDF:6.34.01.122
Versão IVDF:6.34.01.127 - terça-feira, 23 de maio de 2006

 Vulgarmente Meio de transmissão:
   • Peer to Peer


Alias:
   •  Symantec: MSH.Cibyz!int
   •  Mcafee: MSH/Cibyz!p2p
   •  Kaspersky: P2P-Worm.MSH.Skowor.a
   •  TrendMicro: WORM_KIBYZ.A
   •  VirusBuster: MSH.Cybiz.
   •  Bitdefender: Worm.MSH.Skowor.A


Sistemas Operativos:
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows


Depois de executado é visualizada a seguinte informação:


 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\sk0rCzybik.msh



Envia uma cópia de si mesmo usando um nome seguinte lista:
– Para: %Directório partilhado pelo Kazaa% Usando um dos nomes seguintes:
   • Microsoft Windows Vista Cd-Key.txt.msh
   • Windows Vista Update.msh
   • Ad-aware SE Personal Edition 1.06r1.msh
   • Ashampoo Media Player 2.03 install.msh
   • Allround WinZIP Key Generator.msh
   • Talisman Desktop 2.99 Crack.msh
   • Nero Burning Rom 6.6.0.13 Crack.msh
   • Kaspersky KeyGen working.msh
   • Daemon Tools Install + Crack.rar.msh
   • AVP - AntiVirus Key Generator.msh




Altera o conteúdo de um ficheiro.
%todas as subpastas%

Extensão dos ficheiros:
   • .msh
   • .ps1
   • .bat
   • .cmd
   • .log
   • .ini
   • .txt
   • .js
   • .html

 Registry (Registo do Windows) Altera as seguintes chaves de registo do Windows:

Home page do Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valor anterior:
   • "Start Page"="%definições do utilizador % "
   • "Window Title"="Microsoft Internet Explorer"
   Valor recente:
   • "Start Page"=""
   • "Window Title"="Infected by a poly ps worm"

Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Hidden"=dword:00000002
   • "HideFileExt"=dword:00000000
   Valor recente:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
   Valor anterior:
   • "RegisteredOrganization"="%definições do utilizador % "
   • "RegisteredOwner"="%definições do utilizador % "
   Valor recente:
   • "RegisteredOrganization"="Infected Poly"
   • "RegisteredOwner"="sk0rCzybik"

Descrição enviada por Alexandru Tudor em segunda-feira, 18 de setembro de 2006
Descrição atualizada por Andrei Ivanes em sexta-feira, 13 de outubro de 2006

Voltar . . . .