VírusWorm/Fujacks.X
Data em que surgiu:09/02/2007
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:118.272 Bytes
MD5 checksum:9d0Ceb2ef643a2f326dfcd8265502ce9
Versão IVDF:6.37.01.66 - sexta-feira, 9 de fevereiro de 2007

 Vulgarmente Meio de transmissão:
   • Rede local
   • Unidade de rede


Alias:
   •  Mcafee: W32/Fujacks.h
   •  Kaspersky: Worm.Win32.Fujack.a
   •  F-Secure: Worm.Win32.Fujack.a
   •  Sophos: W32/Fujacks-AJ
   •  Panda: W32/Radoppan.I.drp
   •  Grisoft: Worm/Generic.ANX
   •  Eset: Win32/Fujacks
   •  Bitdefender: Win32.Worm.Fujacks.X


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega ficheiros
   • Descarrega ficheiros
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\drivers\CTFMONT.exe
   • %unidade%\setup.exe



São acrescentadas várias secções aos ficheiros.
– Para: %todas as pastas%\*.htm Com os conteúdos seguintes:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– Para: %todas as pastas%\*.html Com os conteúdos seguintes:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– Para: %todas as pastas%\*.asp Com os conteúdos seguintes:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– Para: %todas as pastas%\*.php Com os conteúdos seguintes:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– Para: %todas as pastas%\*.jsp Com os conteúdos seguintes:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– Para: %todas as pastas%\*.asp Com os conteúdos seguintes:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe




São criados os seguintes ficheiros:

– Ficheiro não malicioso:
   • %SYSDIR%\SVKP.sys

%todas as pastas%\Desktop_.ini É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %data actual%

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://www.ctv163.com/**********/down.txt
Este ficheiro pode conter localizações de descarregamento adicionais e poderá servir como fonte para novas ameaças .

 Registry (Registo do Windows) A chave seguinte é adicionada (num loop infinito) ao registo, para executar os processos depois de reinicializar.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • svcshare = %SYSDIR%\drivers\CTMONTv.exe



Os valores da seguinte chave Registo são eliminados:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • RavTask
   • KvMonXP
   • kav
   • KAVPersonal50
   • McAfeeUpdaterUI
   • Network Associates Error Reporting Service
   • ShStatEXE
   • YLive.exe
   • yassistse



O seguinte valor do registo é alterado:

Desactiva o Regedit e o Gestor de Tarefas:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valor anterior:
   • CheckedValue = %definições do utilizador %
   Valor recente:
   • CheckedValue = 0

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Usa a seguinte informação de login para ganhar acesso à máquina remota:

– A seguinte lista de nomes de utilizadores:
   • Administrator
   • Guest
   • admin
   • Root

– A seguinte lista de palavras-chave:
   • 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
      shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
      12345678; 12345; ccc; admin; 5201314; qq520; 123; 1234567; 123456789;
      654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
      database; abcd; abc123; sybase; 123qwe; server; computer; 520; super;
      123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600; alpha;
      110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa; patrick; pat;
      administrator; root; sex; god; fuckyou; fuck; test; test123; temp;
      temp123; win; asdf; pwd; qwer; yxcv; zxcv; home; xxx; owner; login;
      Login; pw123; love; mypc; mypc123; admin123; mypass; mypass123; 901100



Criação de endereços IP:
Gera endereços IP aleatoriamente, guardando somente os três primeiros octetos do seu endereço. De seguida tenta estabelecer ligação com os endereços gerados.


Processo de infecção:
O ficheiro descarregado é armazenado na máquina a atacar: %todas as pastas partilhadas%\GameSetup.exe


Lentidão:
– Cria o seguinte número de processos de infecção: 10
– Dependendo da sua largura da banda poderá notar uma baixa de velocidade da rede. Como a actividade de rede para este malware é de nível médio se tiver uma ligação de banda larga o utilizador pode não se aperceber de nada.
– O utilizador também pode notar uma leve baixa na velocidade devido aos múltiplos processos de rede criados.

 Terminar o processo A seguinte lista de processos são terminados:
   • Mcshield.exe; VsTskMgr.exe; naPrdMgr.exe; UpdaterUI.exe; TBMon.exe;
      scan32.exe; Ravmond.exe; CCenter.exe; RavTask.exe; Rav.exe;
      Ravmon.exe; RavmonD.exe; RavStub.exe; KVXP.kxp; KvMonXP.kxp;
      KVCenter.kxp; KVSrvXP.exe; KRegEx.exe; UIHost.exe; TrojDie.kxp;
      FrogAgent.exe; Logo1_.exe; Logo_1.exe; Rundl132.exe

São terminados os processos que contêm um dos titulos seguintes:
   • Symantec AntiVirus
   • Duba
   • Windows
   • esteem procs
   • System Safety Monitor
   • Wrapped gift Killer
   • Winsock Expert


Lista de serviços desactivados:
   • sharedaccess; RsCCenter; RsRavMon; RsCCenter; RsRavMon; KVWSC;
      KVSrvXP; KVWSC; KVSrvXP; AVP; kavsvc; McAfeeFramework; McShield;
      McTaskManager; McAfeeFramework; McShield; McTaskManager; navapsvc;
      wscsvc; KPfwSvc; SNDSrvc; ccProxy; ccEvtMgr; ccSetMgr; SPBBCSvc;
      Symantec Core LC; NPFMntor; MskService; FireSvc

 Informações diversas Anti debugging
Confirma se um dos ficheiros seguintes está presente:
   • \\.\TRW
   • \\.\SICE
   • \\.\NTICE
   • \\.\FILEVXD
   • \\.\FILEMON
   • \\.\REGVXD
   • \\.\REGMON

Se concluir com êxito visualiza o seguinte e termina imediatamente:


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • SVKP

Descrição enviada por Andrei Gherman em quinta-feira, 18 de outubro de 2007
Descrição atualizada por Andrei Gherman em quinta-feira, 18 de outubro de 2007

Voltar . . . .