Full description

Vírus	Worm/Tearec.A
Data em que surgiu:	12/10/2006
Tipo:	Worm
Incluído na lista "In The Wild"	Sim
Nível de danos:	Baixo
Nível de distribuição:	De médio a elevado
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	94.154 Bytes
MD5 checksum:	1c237c5af9c4c344eaac451b2ef5459c
Versão VDF:	6.36.00.97
Versão IVDF:	6.36.00.113 - segunda-feira, 16 de outubro de 2006

Vulgarmente Meios de transmissão:
   • E-mail
   • Rede local

Alias:
   • Kaspersky: Email-Worm.Win32.Nyxem.e
   • TrendMicro: WORM_NYXEM.AA
   • F-Secure: Email-Worm.Win32.Nyxem.e
   • Sophos: W32/Nyxem-H
   • Panda: W32/Tearec.B.worm
   • Eset: Win32/Nyxem.NAA worm
   • Bitdefender: Win32.Nyxem.H@mm

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Desactiva aplicações de segurança
   • Utiliza o seu próprio motor de E-mail
   • Baixa as definições de segurança
   • Altera o registo do Windows

Depois de executado é visualizada a seguinte informação:

Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\Rundll16.exe
   • %SYSDIR%\scanregw.exe
   • C:\WINZIP_TMP.exe
   • %SYSDIR%\Update.exe
   • %SYSDIR%\Winzip.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

Altera o conteúdo dos ficheiros seguintes.
A sincronização da hora incluída no código do vírus activa-se automaticamente depois de: Se o dia tiver o seguinte valor: 3

– %todas as pastas%

Extensão dos ficheiros:
   • .HTM
   • .DBX
   • .EML
   • .MSG
   • .OFT
   • .NWS
   • .VCF
   • .MBX

Com os conteúdos seguintes:
   • DATA Error [47 0F 94 93 F4 K5]

Elimina os seguintes ficheiros:
   • %PROGRAM FILES%\DAP\*.dll
   • %PROGRAM FILES%\BearShare\*.dll
   • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
   • %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
   • %PROGRAM FILES%\Norton AntiVirus\*.exe
   • %PROGRAM FILES%\Alwil Software\Avast4\*.exe
   • %PROGRAM FILES%\McAfee.com\VSO\*.exe
   • %PROGRAM FILES%\McAfee.com\Agent\*.*
   • %PROGRAM FILES%\McAfee.com\shared\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
   • %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
   • %PROGRAM FILES%\NavNT\*.exe
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
   • %PROGRAM FILES%\Grisoft\AVG7\*.dll
   • %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
   • %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
   • %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
   • %PROGRAM FILES%\Morpheus\*.dll
   • %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
   • %PROGRAM FILES%\Common Files\symantec shared\*.*
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
   • %PROGRAM FILES%\McAfee.com\Agent\*.*
   • %PROGRAM FILES%\McAfee.com\shared\*.*
   • %PROGRAM FILES%\McAfee.com\VSO\*.*
   • %PROGRAM FILES%\NavNT\*.*
   • %PROGRAM FILES%\Norton AntiVirus\*.*
   • %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
   • %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
   • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
   • %PROGRAM FILES%\Trend Micro\Internet Security\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ScanRegistry = "scanregw.exe /scan"

Os valores das seguintes chaves registo do windows são eliminados:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • CleanUp
   • SECUR
   • NPROTECT
   • ccApp
   • ScriptBlocking
   • MCUpdateExe
   • VirusScan Online
   • MCAgentExe
   • VSOCheckTask
   • McRegWiz
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • McVsRte
   • PCClient.exe
   • PCCIOMON.exe
   • pccguide.exe
   • Pop3trap.exe
   • PccPfw
   • tmproxy
   • McAfeeVirusScanService
   • NAV Agent
   • PCCClient.exe
   • SSDPSRV
   • rtvscn95
   • defwatch
   • vptray
   • ScanInicio
   • APVXDWIN
   • KAVPersonal50
   • kaspersky
   • TM Outbreak Agent
   • AVG7_Run
   • AVG_CC
   • Avgserv9.exe
   • AVGW
   • AVG7_CC
   • AVG7_EMC
   • Vet Alert
   • VetTray
   • OfficeScanNT Monitor
   • avast!
   • PANDA
   • DownloadAccelerator
   • BearShare

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • CleanUp
   • SECUR
   • NPROTECT
   • ccApp
   • ScriptBlocking
   • MCUpdateExe
   • VirusScan Online
   • MCAgentExe
   • VSOCheckTask
   • McRegWiz
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • McVsRte
   • PCClient.exe
   • PCCIOMON.exe
   • pccguide.exe
   • Pop3trap.exe
   • PccPfw
   • tmproxy
   • McAfeeVirusScanService
   • NAV Agent
   • PCCClient.exe
   • SSDPSRV
   • rtvscn95
   • defwatch
   • vptray
   • ScanInicio
   • APVXDWIN
   • KAVPersonal50
   • kaspersky
   • TM Outbreak Agent
   • AVG7_Run
   • AVG_CC
   • Avgserv9.exe
   • AVGW
   • AVG7_CC
   • AVG7_EMC
   • Vet Alert
   • VetTray
   • OfficeScanNT Monitor
   • avast!
   • PANDA
   • DownloadAccelerator
   • BearShare

As seguintes chaves de registo e todos os valores são eliminados:
   • Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
   • SOFTWARE\Symantec\InstalledApps
   • SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
   • SOFTWARE\KasperskyLab\Components\101
   • SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
   • SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum

Altera as seguintes chaves de registo do Windows:

Desactiva o Regedit e o Gestor de Tarefas:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Valor recente:
   • "WebView"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Valor recente:
   • "FullPath" = dword:00000001

E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:

Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
–Endereços de e-mail recolhidos do Yahoo! Messenger.
–Endereços de e-mail recolhidos do MSN Messenger.

Assunto:
Um dos seguintes:
   • Word file; eBook.pdf; the file; Part 1 of 6 Video clipe; You Must View
      This Videoclip!; Miss Lebanon 2006; Re: Sex Video; My photos; The Best
      Videoclip Ever; School girl fantasies gone bad; A Great Video; Fuckin
      Kama Sutra pics; Arab sex DSC-00465.jpg; give me a kiss; *Hot Movie*;
      Fw: Funny :); Fwd: Photo; Fwd: image.jpg; Fw: Sexy; Re:; Fw:; Fw:
      Picturs; Fw: DSC-00465.jpg

Nalguns casos o assunto pode não conter texto.

Corpo:
O corpo do email tem uma das seguintes linhas:
   • ----- forwarded message -----
   • ???????????????????????????? ????????????? ?????? ???????????
   • >> forwarded message
   • DSC-00465.jpg DSC-00466.jpg DSC-00467.jpg
   • forwarded message attached.
   • Fuckin Kama Sutra pics
   • hello, i send the file. bye
   • hi i send the details bye
   • Hot XXX Yahoo Groups
   • how are you? i send the details. OK ?
   • i attached the details. Thank you
   • i just any one see my photos. It's Free :)
   • Note: forwarded message attached.
   • photo photo2 photo3
   • Please see the file.
   • ready to be FUCKED :)
   • VIDEOS! FREE! (US$ 0,00)
   • What?

Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • 007.pif; 04.pif; 392315089702606E-02,.scR; 677.pif; Adults_9,zip.sCR;
      Arab sex DSC-00465.jpg; ATT01.zip.sCR; Attachments[001],B64.sCr;
      Clipe,zip.sCr; document.pif; DSC-00465.Pif; DSC-00465.pIf;
      DSC-00465.Pif; DSC-00465.pIf; eBook.pdf; eBook.PIF; image04.pif;
      image04.pif; New Video,zip; New_Document_file.pif; photo.pif;
      Photos,zip.sCR; School.pif; SeX,zip.scR; Sex.mim; Video_part.mim;
      WinZip,zip.scR; WinZip.BHX; WinZip.zip.sCR; Word XP.zip.sCR;
      Word.zip.sCR

O ficheiro de atalho é uma cópia do malware.

Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • *.doc; *.xls; *.mdb; *.mde; *.ppt; *.pps; *.zip; *.rar; *.pdf; *.psd;
      *.dmp

Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • SYMANTEC; KASPERSKY; VIRUS; MCAFEE; TREND MICRO; PANDA; NORTON; FIX;
      HOTMAIL.COM; HELO; SECUR; SCRIBE; SPAM; ANTI; CILLIN; CA.COM; KASPER;
      TRUST; AVG; GROUPS.MSN; NOMAIL.YAHOO.COM; EEYE; MICROSOFT; @HOTMAIL;
      gmail.com; myway.com; @HOTPOP; @YAHOOGROUPS; @yahoo.com

Resolver nomes de servidores:
Tem a capacidade de contactar o servidor DNS:
   • ns1.%nome de domínio do endereço de e-mail do destinatário%

Infecção da rede Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • ADMIN$
   • C$

Usa a seguinte informação de login para ganhar acesso à máquina remota:

– O seguinte nome de utilizador :
   • administrator

Execução remota:
–Tenta programar uma execução remota do malware, na máquina recentemente infectada. Então usa a função de NetScheduleJobAdd.

Terminar o processo São terminados os processos que contêm um dos titulos seguintes:
   • SYMANTEC
   • SCAN
   • KASPERSKY
   • VIRUS
   • MCAFEE
   • TREND MICRO
   • NORTON
   • REMOVAL
   • FIX

Backdoor Contacta o servidor:
Seguinte:
• http://webstats.web.rcn.net/**********?df=778247

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP POST através de scripts CGI.

Envia informação sobre:
• Situação actual de malware

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Visual Basic.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• UPX

Descrição enviada por Alexandru Dinu em quarta-feira, 14 de novembro de 2007
Descrição atualizada por Alexandru Dinu em sexta-feira, 16 de novembro de 2007

Voltar . . . .