VírusWorm/Ntech.D
Data em que surgiu:13/08/2007
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:20.992 Bytes
MD5 checksum:DFADE0D9B21BE4FD57DD6975D9FE7CCD
Versão IVDF:6.39.00.233 - segunda-feira, 13 de agosto de 2007

 Vulgarmente Meio de transmissão:
   • E-mail


Sistemas Operativos:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail

 Ficheiros  Cria a seguinte pasta:
   • %WINDIR%\temp\



Altera o conteúdo de um ficheiro.
%SYSDIR%\driver\secdrv.sys



São criados os seguintes ficheiros:

%SYSDIR%\driver\runtime.sys Além disso executa-se depois de gerado. Detectado como: RKit/Posh.A

%WINDIR%\temp\startdrv.exe Detectado como: Worm/Ntech.E

%SYSDIR%\driver\runtime2.sys Detectado como: RKit/Posh.A




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://67.18.114.98/**********
Encontra-se no disco rígido: %TEMPDIR%\%vários dígitos aleatórios%8.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %SYSDIR%\driver\runtime2.sys
Esconde processos no Gestor de Tarefas. Detectado como: RKit/Posh.A

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • startdrv"="%WINDIR%\Temp\startdrv.exe"



São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SECDRV\0000\Control\
   ActiveService
   • Secdrv

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME\0000\Control\
   ActiveService
   • runtime

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME2\0000\Control\
   ActiveService
   • runtime2

 E-mail Contém um motor de SMTP integrado para enviar e-mails de Spam. É estabelecida uma ligação directa com o servidor de destino. As características são as seguintes:


De:
Endereços recolhidos na internet. Por favor não assuma que era intenção do remetente enviar este e-mail para si. Ele pode não saber que tem o computador infectado ou pode mesmo nem estar infectado. Além disso é possível que receba e-mails indicando que em


Para:
– Endereços recolhidos na internet:


Assunto:
Um dos seguintes:
   • A pretty-pretty fly
   • Always ready
   • Anything else?
   • Enjoy with you hard stick
   • Here is it
   • Hot game
   • Hot pictures
   • Joy stick
   • Magic is real
   • Magic stick
   • Something hot
   • Super stick
   • To be or not to be. To be...
   • Very-very magic stick
   • You ask me about this game, Here is it
   • You can...

O assunto não contém texto.
O assunto tem caracteres aleatórios.


Corpo:
O corpo do email é um dos seguintes:

   • %substituição 1%, %substituição 2%!
     
     Funny game. %substituição 3% fucks %substituição 4%... In your attachemnt.

   • %substituição 1%, %substituição 2%!
     
     Amusing game. %substituição 3% fucks %substituição 4%... In your attachemnt.


Continuado com um dos seguintes:

   • Best Regards.

   • Bye.

   • Good Bye.

   • Regards.

   • Thanks.


%substituição 1% pode ser extendido a um dos seguintes:
   • Good afternoon
   • Good Day
   • Good evening
   • Good morning
   • Hello
   • Helo
   • Hi


%substituição 2% é extendido a um dos seguintes:
   • buddy
   • dear Friend
   • dear
   • friend
   • man
   • old chap


%substituição 3% é extendido a um dos seguintes:
   • Angelina Jolie
   • Carrie Ann Moss
   • Lara Croft
   • Nicole Kidman


%substituição 4% é extendido a um dos seguintes:
   • Dart Wader
   • Harry Potter
   • Luke Skywalker


Atalho:

O ficheiro de atalho contém uma cópia do próprio malware.



O email pode ser parecido com o seguinte:


 Backdoor Contacta o servidor:
Seguinte:
   • 216.195.61.87:2581



Capacidades de controlo remoto:
    • Envia emails

 Tecnologia de Rootkit – Os seus próprios ficheiros
– Os seus próprios processos


Forma utilizada
    • Escondido da Tabela de Descriptores Interrupção (IDT)

Bloqueia as seguintes funções API:
   • ZwDeleteValueKey
   • ZwEnumerateKey
   • ZwOpenKey
   • ZwSetValueKey

Descrição enviada por Viktor Graeber em segunda-feira, 13 de agosto de 2007
Descrição atualizada por Philipp Wolf em segunda-feira, 13 de agosto de 2007

Voltar . . . .