VírusWorm/Fontra.C
Data em que surgiu:09/02/2007
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:De baixo a médio
Ficheiro estático:Não
Tamanho:~400.000 Bytes
Versão VDF:6.37.01.61 - sexta-feira, 9 de fevereiro de 2007
Versão IVDF:6.37.01.61 - sexta-feira, 9 de fevereiro de 2007

 Vulgarmente Meio de transmissão:
   • Peer to Peer


Alias:
   •  Mcafee: W32/Vbbot
   •  Kaspersky: Virus.Win32.Fontra.c
   •  F-Secure: Virus.Win32.Fontra.c
   •  Sophos: W32/Fontra-F
   •  Grisoft: Worm/Delf.ATB
   •  Eset: Win32/VB.NJQ

Identificado anteriormente como:
   •  TR/Dldr.Fontra.C.1


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega um ficheiro malicioso


Depois de executado é visualizada a seguinte informação:


 Ficheiros Autocopia-se para as seguintes localizações
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\dllhost.exe
   • %PROGRAM FILES%\setup.exe
   • %PROGRAM FILES%\Track_03.exe
   • %PROGRAM FILES%\Video.exe



Copia-se dentro de ficheiros para as seguintes localizações:
   • %PROGRAM FILES%\a.zip
   • %PROGRAM FILES%\b.zip
   • %PROGRAM FILES%\c.zip



Cria as seguintes pastas:
   • %Directório partilhado pelo BearShare%\_
   • %Directório partilhado LimeWire%\_
   • %ficheiro partilhado pelo Morpheus%\_
   • %Directório partilhado pelo Shareaza%\_



São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • %PROGRAM FILES%\A.ico
   • %PROGRAM FILES%\B.ico
   • %SYSDIR%\vbzip10.dll

%PROGRAM FILES%\uy.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Fontra.C.2




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %PROGRAM FILES%\bearshare\bearshare.exe


– Executa um dos seguintes ficheiros:
   • %PROGRAM FILES%\limewire\limewire.exe


– Executa um dos seguintes ficheiros:
   • %PROGRAM FILES%\morpheus\morpheus.exe


– Executa um dos seguintes ficheiros:
   • %PROGRAM FILES%\shareaza\shareaza.exe

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção:


Procura o seguintes directórios:
   • %Directório partilhado pelo BearShare%\_
   • %Directório partilhado LimeWire%\_
   • %ficheiro partilhado pelo Morpheus%\_
   • %Directório partilhado pelo Shareaza%\_

   Em caso de ser bem sucedido, é criado o seguinte ficheiro:
   • %uma série de caracteres aleatórios%.zip

   O ficheiro comprimido contém uma cópia do malware.



O directório partilhado pode ter a seguinte aparência:


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.

Descrição enviada por Andrei Gherman em quarta-feira, 28 de março de 2007
Descrição atualizada por Andrei Gherman em quarta-feira, 28 de março de 2007

Voltar . . . .