VírusWorm/Tutiam.A
Data em que surgiu:24/07/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:143.360 Bytes
MD5 checksum:9f2b1ee9a59f56a91a0Ca7b25458e589
Versão VDF:6.35.00.180
Versão IVDF:6.35.00.220

 Vulgarmente Meios de transmissão:
   • E-mail
   • Rede local


Alias:
   •  Symantec: W32.Miti@mm
   •  Kaspersky: IRC-Worm.Win32.Tutiam.a
   •  TrendMicro: WORM_TUTIAM.A
   •  VirusBuster: Worm.Tutiam.A
   •  Bitdefender: Dropped:Win32.Worm.Tamiami.A


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows


Depois de executado é visualizada a seguinte informação:


 Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\strangler.exe
   • %WINDIR%\Tamiami.wrd
   • %WINDIR%\tamweb\Pictures.exe



Cria as seguintes pastas:
   • %WINDIR%\tammail
   • %WINDIR%\tamweb



É acrescentada uma secção a um ficheiro.
– Para: %unidade%:\*.zip Com os conteúdos seguintes:
   • SourceCode.exe
     Addons_ENG.exe
     Pictures.exe
     Licence.exe
     ReadMe.exe
     Install.exe
     Quellcode.exe
     Addons.exe
     Bilder.exe
     Lizenz.exe
     LiesMich.exe
     Installation.exe
     (%ficheiro executado%)




São criados os seguintes ficheiros:

%WINDIR%\tamver.sys
%WINDIR%\Tamiami.vbs
%WINDIR%\tamweb\index.htm Detectado como: Worm/Tamiami.A

%WINDIR%\Tamiami.mrc

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Tamiami"="%WINDIR%\strangler.exe"



É adicionada a seguinte chave de registo:

– [HKCU\Identities\%dependente do sistema%\Software\Microsoft\
   Outlook Express\5.0\Mail]
   • "Warn on Mapi Send"=dword:00000000



Altera as seguintes chaves de registo do Windows:

Desactiva a Firewall do Windows
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor recente:
   • "Start"=dword:00000004

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: irc.quake**********
Porta: 6667
Palavra-chave do servidor: %oito caracteres aleatórios%
Canal #tamiami
Nickname: %oito caracteres aleatórios%
Palavra-chave strangler

Servidor: quakenet.under**********
Porta: 6667
Palavra-chave do servidor: %oito caracteres aleatórios%
Canal #tamiami
Nickname: %oito caracteres aleatórios%
Palavra-chave strangler

Servidor: irc.efn**********
Porta: 6667
Palavra-chave do servidor: %oito caracteres aleatórios%
Canal #tamiami
Nickname: %oito caracteres aleatórios%
Palavra-chave strangler

Servidor: icr.under**********
Porta: 6667
Palavra-chave do servidor: %oito caracteres aleatórios%
Canal #tamiami
Nickname: %oito caracteres aleatórios%
Palavra-chave strangler

Servidor: eu.under**********
Porta: 6667
Palavra-chave do servidor: %oito caracteres aleatórios%
Canal #tamiami
Nickname: %oito caracteres aleatórios%
Palavra-chave strangler

Servidor: us.under**********
Porta: 6667
Palavra-chave do servidor: %oito caracteres aleatórios%
Canal #tamiami
Nickname: %oito caracteres aleatórios%
Palavra-chave strangler

Servidor: port80c.se.quake**********
Porta: 6667
Palavra-chave do servidor: %oito caracteres aleatórios%
Canal #tamiami
Nickname: %oito caracteres aleatórios%
Palavra-chave strangler


– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Desliga-se do servidor de IRC
    • Ligação ao canal IRC
    • Inicia a rotina de propagação

 Informações diversas  Procura uma ligação de internet contactando o seguinte web site:
   • http://update.microsoft.com


Mutex:
Cria o seguinte Mutex:
   • Worm.Tamiami v1.3.2 by DiA/RRLF

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.

Descrição enviada por Monica Ghitun em segunda-feira, 24 de julho de 2006
Descrição atualizada por Andrei Ivanes em segunda-feira, 27 de novembro de 2006

Voltar . . . .