VírusWorm/BackNine
Data em que surgiu:09/03/2007
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:De médio a elevado
Ficheiro estático:Sim
Tamanho:20.992 Bytes
MD5 checksum:000B5aea832ad9e266b0abe8ac0B757e
Versão VDF:6.38.00.23 - sexta-feira, 9 de março de 2007
Versão IVDF:6.38.00.23 - sexta-feira, 9 de março de 2007

 Vulgarmente Alias:
   •  Kaspersky: Trojan.Win32.Crypt.ab
   •  F-Secure: Trojan.Win32.Crypt.ab
   •  Bitdefender: Trojan.Ransom.B


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Depois da execução executa um aplicação que exibe a janela seguinte:


 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\recovery.exe
   • %SYSDIR%\kkk.exe


Criptografia:
Cria novos arquivos que são cópias criptografadas dos arquivos encontrados.

É pesquisada a seguinte pasta:
   • %todas as pastas%

O nome do arquivo é igual ao do ficheiro original com tipos de extensões de arquivos.

O nome do arquivo é o seguinte:
   • *.rwg



É criado o seguinte ficheiro:

%SYSDIR%\RansomWar.txt É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • Dear user,
      some of your files have been encrypted using a quite strong system.
     Now you are scared but I will not ask you for money.
     If you want to get back your files you can do following:
     1) Contact a good antivirus-company that will decrypt them for you
     2) You can send an email to **********@yahoo.com requesting a decryptor program
     3) You can launch your PC trought the window or use a better OS (like linux) :)
     
      RansomWar by [WarGame,eof]

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • run = %SYSDIR%\recovery.exe

 E-mail Utiliza o Messaging Application Programming Interface (MAPI) para responder a e-mails guardados na caixa de entrada. As características são as seguintes:


De:
O endereço do remetente é a conta do utilizador do Outlook.


Formato do email:



Assunto: You are a very lucky man, read this mail!
Body:
   • Hi, you won a big amount of money!!! If you want to know more look at the attachment!
Atalho:
   • BigCashForYou.exe



O email pode ser parecido com o seguinte:


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Andrei Gherman em terça-feira, 15 de maio de 2007
Descrição atualizada por Andrei Gherman em terça-feira, 15 de maio de 2007

Voltar . . . .