VírusWorm/Agent.184320
Data em que surgiu:10/10/2006
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:298.528 Bytes
MD5 checksum:8a1b5f56799b7bcc1751055e93c933a8
Versão VDF:6.36.01.54
Versão IVDF:6.36.01.57 - segunda-feira, 20 de novembro de 2006

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Kaspersky: Virus.Win32.VB.bp
   •  TrendMicro: WORM_VB.BOE
   •  Sophos: W32/Rungbu-B


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Descarrega um ficheiro
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows


Depois da execução executa um aplicação que exibe a janela seguinte:


 Ficheiros Autocopia-se para as seguintes localizações
   • C:\lsass.exe
   • %SYSDIR%\dllhost.com
   • %WINDIR%\setup\dllhost.com
   • %HOME%\My Documents\Rated R Pictures.com
   • %WINDIR%\lsass.exe.exe
   • %WINDIR%\AutoRun.ini
   • %WINDIR%\MsWord.exe
   • %PROGRAM FILES%\philconst.exe
   • %WINDIR%\Downloaded Program Files\philconst.exe
   • %ficheiro eliminado% .scr



Cria a seguinte pasta:
   • %HOME%\My Documents\Rated R Pictures



Apaga ficheiros que contêm um dos textos seguintes:
   • .doc
   • .rtf



São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • %malware executiondirectory%\%ficheiro executado%.doc
   • %WINDIR%\OUTSETTN.REG

%PROGRAM FILES%\microsoft frontpage\outlook.vbs Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: HEUR/Worm.Outlook.VBS

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run
   • @="%SYSDIR%\dllhost.com"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • @="\lsass.exe"
   • "WinRun"="%WINDIR%\AutoRun.ini"



São adicionadas as seguintes chaves ao registo:

– HKCR\datfile\shell\open\command
   • @="\"%WINDIR%\setup\dllhost.com\" %1"

– KEY_CLASSES_ROOT\artfile\shell\open\command
   • @="\"%WINDIR%\setup\dllhost.com\" %1"

– HKCR\piffile\shell\open\command
   • @="\"%WINDIR%\setup\dllhost.com\" %1"

– HKCR\AVIFile\shell\open\command
   • @="\"%WINDIR%\setup\dllhost.com\" %1"

– HKCR\exefile
   • "NeverShowExt"=""

– HKCR\scrfile
   • @="Microsoft Word Document"
   • "NeverShowExt"=""

– HKCR\batfile
   • "NeverShowExt"=""

– HKCR\comfile
   • @="File Folder"

– HKCR\comfile\DefaultIcon
   • @=%SystemRoot%\System32\shell32.dll,3

– HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\MSCrusher
   • "command"="shutdown -s -f -t 0"
   • "hkey"="HKCR"
   • "inimapping"="0"
   • "item"="Shutdowm"
   • "key"="batfile\\shell\\edit\\command"

– HKLM\SOFTWARE\Microsoft\Windows\System\DarkAngel
   • "Expiration-Bug"="3011"

– HKCR\batfile\shell\edit\command
   • @="shutdown -s -f -t 0"

– HKCR\inifile\shell\open\command
   • @="%1" %*"

– HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
   • "ActiveTimeBias"=dword:ffffff88



Altera as seguintes chaves de registo do Windows:

Desactiva o Regedit e o Gestor de Tarefas:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
   Valor anterior:
   • "NoFolderOptions"=dword:00000000
   • "NoRun"=dword:00000000
   Valor recente:
   • "NoFolderOptions"=dword:00000001
   • "NoRun"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideFileExt
   Valor recente:
   • "CheckedValue"=dword:00000001

Home page do Internet Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Valor anterior:
   • "DisableRegistryTools"=dword:00000000
   Valor recente:
   • "DisableRegistryTools"=dword:00000001

 E-mail De:
O endereço do remetente é a conta do utilizador do Outlook.


Para:
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
O seguinte:
   • Read my letter for you



Corpo:
O corpo do email é o seguinte:
   • this was created from the deep inside my heart.


Atalho:

O ficheiro de atalho é uma cópia do malware.

 Terminar o processo A seguinte lista de processos são terminados:
   • explorer.exe; avgctrl.exe; avgamsvr.exe; avgserv.exe; avginet.exe;
      avgupsvc.exe; avgemc.exe; avgnt.exe; avgregcl.exe; avgserv9.exe;
      avgw.exe; alogserv.exe; avsynmgr.exe; Mpfsheild.exe; MpfAgent.exe;
      mpf.exe; MpfConsole.exe; mcagent.exe; mcappins.exe; McDash.exe;
      mcdetect.exe; mcinfo.exe; mcmnhdlr.exe; mcshield.exe; mctskshd.exe;
      mcupdate.exe; mcvsescn.exe; mcvsshld.exe; mcvsftsn.exe; mcvsrte.exe;
      vstskmgr.exe; vsmain.exe; vshwin32.exe; pccpfw.exe; pccclient.exe;
      pcclient.exe; pccguide.exe; pccnt.exe; pccntmon.exe; pccntupd.exe;
      PcCtlCom.exe; pcscan.exe; avpm.exe; avpcc.exe; kav.exe; kavmm.exe;
      kavsvc.exe; AVENGINE.EXE; nisserv.exe; NISUM.exe; Navapsvc.exe;
      NMain.exe; Navapw32.exe; VetMsg.exe; VetTray.exe; Vet32.exe;
      VetNT.exe; vsmon.exe; zlclient.exe; zapro.exe; zonealarm.exe;
      APVXDWIN.EXE; AVLITE.EXE; AVLTMAIN.EXE; AVTASK.EXE; LUPGCONF.EXE;
      PAVSRV51.EXE; PavPrSrv.exe


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Bogdan Iliuta em quarta-feira, 8 de novembro de 2006
Descrição atualizada por Bogdan Iliuta em quarta-feira, 22 de novembro de 2006

Voltar . . . .