VírusWorm/Rindu.D
Data em que surgiu:28/08/2007
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:De médio a elevado
Ficheiro estático:Sim
Tamanho:107.008 Bytes
MD5 checksum:85eeb3645837f31308f44f9746c9bc82
Versão VDF:6.39.01.79
Versão IVDF:6.39.01.082

 Vulgarmente Meios de transmissão:
   • Rede local
   • Unidade de rede


Alias:
   •  Mcafee: W32/Ridnu.d
   •  Panda: W32/Ridnu.F.drp


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\logonui.scr
   • %SYSDIR%\MyComp.scr
   • %SYSDIR%\userinit.exe
   • %SYSDIR%\sndvol32.exe
   • %SYSDIR%\calc.exe
   • %SYSDIR%\notepad.exe
   • %SYSDIR%\mspaint.exe
   • C:\MSOCache\dlcache\Lagu.scr
   • C:\MSOCache\dlcache\Gambar.scr
   • C:\MSOCache\dlcache\Film.scr
   • C:\MSOCache\dlcache\Dokumen Penting.scr
   • %PROGRAM FILES%\outlook express.scr
   • %PROGRAM FILES%\winamp.scr
   • %PROGRAM FILES%\Windows Media Player.scr
   • %PROGRAM FILES%\Windows NT\dialer.exe
   • %PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE



Cria a seguinte pasta:
   • C:\MSOCache\dlcache\



São acrescentadas várias secções aos ficheiros.
– Para: %SYSDIR%\dllcache\userinit.exe Com os conteúdos seguintes:
   • %ficheiro executado%

– Para: %SYSDIR%\dllcache\sndvol32.exe Com os conteúdos seguintes:
   • %ficheiro executado%

– Para: %SYSDIR%\dllcache\calc.exe Com os conteúdos seguintes:
   • %ficheiro executado%

– Para: %SYSDIR%\dllcache\notepad.exe Com os conteúdos seguintes:
   • %ficheiro executado%

– Para: %SYSDIR%\dllcache\mspaint.exe Com os conteúdos seguintes:
   • %ficheiro executado%

– Para: %SYSDIR%\dllcache\iexplore.exe Com os conteúdos seguintes:
   • %ficheiro executado%




Altera o conteúdo de um ficheiro.
%PROGRAM FILES%

Extensão do ficheiro:
   • *.exe

Com os conteúdos seguintes:
   • %ficheiro executado%




Copia os seguintes ficheiros:
    •  %SYSDIR%\userinit.exe Para: %SYSDIR%\dllcache\userinit.exe
    •  %SYSDIR%\sndvol32.exe Para: %SYSDIR%\dllcache\sndvol32.exe
    •  %SYSDIR%\calc.exe Para: %SYSDIR%\dllcache\calc.exe
    •  %SYSDIR%\notepad.exe Para: %SYSDIR%\dllcache\notepad.exe
    •  %SYSDIR%\mspaint.exe Para: %SYSDIR%\dllcache\mspaint.exe
    •  %PROGRAM FILES%\Internet Explorer\iexplore.exe Para: %SYSDIR%\dllcache\iexplore.exe



É criado o seguinte ficheiro:

%WINDIR%\media\suara.mp3

 Registry (Registo do Windows) Altera as seguintes chaves de registo do Windows:

Desactiva o Regedit e o Gestor de Tarefas:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valor anterior:
   • "RegPath"="%definições do utilizador %"
   Valor recente:
   • "RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\AdvancedDeulleDo-X"

Desactiva o Regedit e o Gestor de Tarefas:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Valor anterior:
   • "UncheckedValue"=%definições do utilizador %
   Valor recente:
   • "UncheckedValue"=dword:00000000

Desactiva o Regedit e o Gestor de Tarefas:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\ShowFullPathAddress]
   Valor anterior:
   • "UncheckedValue"=%definições do utilizador %
   Valor recente:
   • "UncheckedValue"=dword:00000001

Desactiva o Regedit e o Gestor de Tarefas:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Valor anterior:
   • "UncheckedValue"=%definições do utilizador %
   Valor recente:
   • "UncheckedValue"=dword:00000001

Home page do Internet Explorer:
– [HKCU\Software\Policies\Microsoft\Windows\System]
   Valor anterior:
   • "DisableCMD"=%definições do utilizador %
   Valor recente:
   • "DisableCMD"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Valor anterior:
   • "FullPathAddress"=%definições do utilizador %
   Valor recente:
   • "FullPathAddress"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="%definições do utilizador %"
   Valor recente:
   • "Shell"="Explorer.exe, MyComp.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor anterior:
   • "DisableTaskMgr"="%definições do utilizador %"
     "DisableRegistryTools"=%definições do utilizador %
   Valor recente:
   • "DisableTaskMgr"="1"
     "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Classes\scrfile]
   Valor anterior:
   • @=""="%definições do utilizador %"
     "NeverShowExt"=%definições do utilizador %
   Valor recente:
   • @="File Folder"
     "NeverShowExt"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor anterior:
   • "NoFolderOptions"=%definições do utilizador %
     "NoFind"=%definições do utilizador %
     "NoRun"=%definições do utilizador %
   Valor recente:
   • "NoFolderOptions"=dword:00000001
     "NoFind"=dword:00000001
     "NoRun"=dword:00000001
     

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "ShowSuperHidden"=%definições do utilizador %
     "HideFileExt"=%definições do utilizador %
   Valor recente:
   • "ShowSuperHidden"=dword:00000000
     "HideFileExt"=dword:00000001

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • IPC$\
   • Data.C$\
   • Data.D$\
   • Data.E$\
   • Data.F$\
   • Data.G$\
   • Data.H$\
   • imorxr$\Lagu.scr
   • imorxr$\Gambar.scr
   • imorxr$\Film.scr
   • imorxr$\Dokumen Penting.scr

 Terminar o processo São terminados os processos que contêm um dos titulos seguintes:
   • ANTI; TROJAN; SUPPORT; MASTER; WORM; VIRUS; HACK; CRACK; LINUX; AVG;
      GRISOFT; CILLIN; SECURITY; LOCK; ASSOCIAT; SETUP; VAKSIN; UPDATE;
      TEST; XXX; HIDDEN; DEMO; SYSTEM32; AFEE; NORTON; RONTOK; PCMAV; W32;
      BLACK; MACRO; deulledo; TREND; SPERSKY; REGISTRY; COMMAND; KILL;
      NORMAN; FILM; PORNO; SVQj; PROCEXPL


 Informações diversas Partilhas de rede:
As seguintes partilhas de rede serão eliminadas:
   • imorxr$\
   • Data.C$\
   • Data.D$\
   • Data.E$\
   • Data.F$\
   • Data.G$\
   • Data.H$\


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Monica Ghitun em segunda-feira, 3 de setembro de 2007
Descrição atualizada por Monica Ghitun em quarta-feira, 5 de setembro de 2007

Voltar . . . .