Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Scano.O.2
Data em que surgiu:04/05/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:18.084 Bytes
MD5 checksum:a05bcd12683a646af7b4ff59ce555f7a
Versão VDF:6.34.01.36
Versão IVDF:6.34.01.37 - quinta-feira, 4 de maio de 2006

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Mcafee: W32/Areses.h
   •  TrendMicro: WORM_ARESES.S
   •  Sophos: W32/Bagle-IU
   •  VirusBuster: I-Worm.Scano.U
   •  Eset: Win32/Scano.V
   •  Bitdefender: Win32.Scano.O@mm


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\csrss.exe



Copia-se dentro de um ficheiro para a localização seguinte:
   • %TEMPDIR%\Message.zip




Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://207.46.250.119/g/**********
Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://www.microsoft.com/g/**********
Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://84.22.161.192/s/**********
Ainda em fase de pesquisa.



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %SYSDIR%\services.exe
Executa o ficheiro com um dos seguintes parâmetros: %WINDIR%\csrss.exe
Esconde processos no Gestor de Tarefas.

– Executa um dos seguintes ficheiros:
   • %SYSDIR%\svchost.exe
Executa o ficheiro com um dos seguintes parâmetros: %WINDIR%\csrss.exe

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



Os valores das seguintes chaves registo do windows são eliminados:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
Um dos seguintes:
   • Hi, what's up?
   • He, where are you?
   • Hi, drop me a line!!!
   • Hi! Please write to me urgently!
   • Hi! I'm waiting you online today!
   • Will you be online today?
   • When you're gonna answer me?
   • Re: write to me!
   • Re: Call me!
   • Re: Where are you?
   • Re: When you're gonna answer me?
   • Hi!!! How's the mood?
   • Re: How's the mood?
   • Re: Where have you been?



Corpo:
–  Nalguns casos pode estar vazio.


O corpo do email é um dos seguintes:

   • Hi!!!!! You haven't been writing for a long time. I began to worry) Where have you been? You remember, you've asked a progy from me? I've finally found it, so here it is. Check it out if this is what you've been looking for... bye

   • Hi, what's up? Will you show up online today?
     Drop me a line in ICQ, ok? Btw, I'm sending you the docs you've been looking for, find them attached. Check them out, ok?

   • Hi!
     I'm coming to you tomorrow, ok? When you are going to be home?
     You remember, you've asked some docs. Please find them attached. Check and see what's inside. That's it. Bye, till tomorrow...

   • Hi!
     You disappeared again. If you come online, drop me a line, ok?
     Btw, I sent you those docs that you've been looking for. Check them out. Bye!

   • Hi, give me a call just when you got the message! I'm tired of waiting. Btw, I'm sending that program that you've been looking for. Check it out. Appears to be that one. Bye!

   • Hi, what's up? If you have time tomorrow, please come over. After midday. By the way, don't forget to check the enclosed documents. Bye. See you tomorrow.

   • Hi, I got a free day tomorrow, and I'm waiting for you. Please come after midday. By the way, I'm sending you the documents that you've been asking for. Read them out... Bye!

   • Hi, how are you? What are your plans today? If you have time, please come over, and don't forget to check the program attached. Bye!

   • Hi, what's you gonna do today? I'll come over tonight! By the way, don't give anyone this funny program I'm sending. Check it out. Bye!

   • Hi, I found that program you asked for. Find it attached. Bye.

   • Hi, I saw you around today, but you didn't noticed me ( If you're gonna be at home, give a call, ok? By the way, check this file I'm sending. A very interesting program...
     What's up! You haven't been writing for a long time
     I got news. I've finally that program you needed
     I'm sending it out. Use it. Bye!

   • Hi, drop me a line today, ok? And see the program I'm sending. Bye!

   • Hi, drop me a line if you can. Btw, I have a new ICQ. Please don't forget to check the attached documents. Bye.

   • Hi! How are you? Drop me a line if you can. I found your documents and I'm emailing them to you. Bye.


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

O ficheiro de atalho contém uma cópia do próprio malware.

 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Irina Boldea em terça-feira, 7 de novembro de 2006
Descrição atualizada por Irina Boldea em sexta-feira, 10 de novembro de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.