VírusWorm/Hakaglan.B
Data em que surgiu:05/04/2007
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:268.216 Bytes
MD5 checksum:0D94f594bca6d09ab3423b962da0e9df
Versão IVDF:6.38.00.184 - quinta-feira, 5 de abril de 2007

 Vulgarmente Meios de transmissão:
   • Unidade de rede
   • Messenger


Alias:
   •  Mcafee: Downloader-FL
   •  F-Secure: Worm.Win32.AutoIt.c
   •  Sophos: W32/SillyFDC-G
   •  Grisoft: Worm/Autoit.X
   •  Eset: Win32/Hakaglan.B
   •  Bitdefender: Win32.Worm.Sohanat.AB


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\RVHOST.exe
   • %WINDIR%\RVHOST.exe
   • %unidade%\New Folder.exe



É criado o seguinte ficheiro:

%WINDIR%\tasks\At1.job Tarefa agendada que executa o malware em horários predefinidos.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger = %SYSDIR%\RVHOST.exe



Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • Shell = Explorer.exe
   Valor recente:
   • Shell = Explorer.exe RVHOST.exe

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   Valor recente:
   • AtTaskMaxHours = 0

Home page do Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor recente:
   • DisableTaskMgr = 1
   • DisableRegistryTools = 1

Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor recente:
   • NofolderOptions = 1

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   Valor recente:
   • shared = \\%nome do computador%\%unidade%\New Folder.exe

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– Yahoo Messenger


Para:
Todos os contatos online da lista de contactos.


Mensagem
A mensagem enviada parece-se com a seguinte:

   • %recolhido na Internet%


As mensagens recebidas têm a seguinte aparência:




 Backdoor Contacta o servidor:
Seguintes:
   • http://nhatquanglan2.0catch.com/**********
   • http://nhatquanglan2.0catch.com/**********
   • http://www.freewebs.com/nhattruongquang/**********

Como resultado é dada capacidade de controlo remoto. A resposta do servidors é escrita no ficheiro: %SYSDIR%\settings.ini


Capacidades de controlo remoto:
    • Download de ficheiros
    • Executa o ficheiro
    • Relacionado com SPAM
    • Visita um Web site

Descrição enviada por Andrei Gherman em sexta-feira, 14 de março de 2008
Descrição atualizada por Andrei Gherman em sexta-feira, 14 de março de 2008

Voltar . . . .