VírusWorm/Scano.U
Data em que surgiu:22/06/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:18.084 Bytes
MD5 checksum:a05bcd12683a646af7b4ff59ce555f7a
Versão VDF:6.35.00.59
Versão IVDF:6.35.00.67 - sábado, 24 de junho de 2006

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Mcafee: W32/Areses.h
   •  TrendMicro: WORM_ARESES.R
   •  Sophos: W32/Areses-F
   •  VirusBuster: I-Worm.Scano.T
   •  Eset: Win32/Scano.U
   •  Bitdefender: Win32.Scano.AM@mm


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\csrss.exe



Copia-se dentro de um ficheiro para a localização seguinte:
   • %TEMPDIR%\Message.zip




Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://207.46.250.119/g/**********
Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://www.microsoft.com/g/**********
Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://84.22.161.192/s/**********
Ainda em fase de pesquisa.



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %SYSDIR%\services.exe
Executa o ficheiro com um dos seguintes parâmetros: %WINDIR%\csrss.exe
Esconde processos no Gestor de Tarefas.

– Executa um dos seguintes ficheiros:
   • %SYSDIR%\svchost.exe
Executa o ficheiro com um dos seguintes parâmetros: %WINDIR%\csrss.exe

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



Os valores das seguintes chaves registo do windows são eliminados:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
Um dos seguintes:
   • Приветик, как твои дел?
   • ЙЫЛЙ?
   • Привет, ты где?
   • Привет, напиши мне!!!
   • Привет! Срочно напиши м!
   • не!
   • дешь?
   • Re: напиши мне!
   • Re: Позвони мне!
   • Re: Ты где?
   • Re: Когда ты мне ответиш
   • Re: Как настроение?
   • Re: Где пропадаешь?



Corpo:
–  Nalguns casos pode estar vazio.


O corpo do email tem uma das seguintes linhas:
   • Привет! Я сегодня жду те
   • Сегодня в интернете бу
   • Когда мне напишишь?
   • Приветик!!! Как настроен


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

O ficheiro de atalho contém uma cópia do próprio malware.

 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Irina Boldea em quarta-feira, 1 de novembro de 2006
Descrição atualizada por Irina Boldea em quinta-feira, 2 de novembro de 2006

Voltar . . . .