VírusWorm/Winko.I
Data em que surgiu:22/10/2007
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Não
Tamanho:~17.000 Bytes
Versão IVDF:7.00.00.117 - segunda-feira, 22 de outubro de 2007

 Vulgarmente Meio de transmissão:
   • Unidade de rede


Alias:
   •  Kaspersky: Worm.Win32.AutoRun.cxp
   •  F-Secure: Worm:W32/AutoRun.CX
   •  Grisoft: Downloader.Small.BYN
   •  Eset: Win32/TrojanDownloader.Flux.AC
   •  Bitdefender: Win32.Worm.Winko.I

Detecção similar:
   •  Worm/Winko.I.%número%


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\%vários dígitos aleatórios%.EXE
   • %unidade%\auto.exe



Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%SYSDIR%\C%vários dígitos aleatórios%.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Autorun.CA




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://33.xingaide8.cn/**********/update.txt
Este ficheiro pode conter localizações de descarregamento adicionais e poderá servir como fonte para novas ameaças .

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %uma série de caracteres aleatórios%]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\%vários dígitos aleatórios%.EXE -k
   • DisplayName = %uma série de caracteres aleatórios%
   • ObjectName = LocalSystem
   • Description = C%vários dígitos aleatórios%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %uma série de caracteres aleatórios%\Security]
   • Security = %valores hex%



A seguinte chave de registo e todos os valores são eliminados:
   • [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]



Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valor recente:
   • CheckedValue = 0

– [HKLM\SOFTWARE\Microsoft\Windows NT]
   Valor recente:
   • ReportBootOk= 1

– [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
   Valor recente:
   • DoReport = 0
   • ShowUI = 0

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %SYSDIR%\C%vários dígitos aleatórios%.dll

    Todos os processos que se seguem:
   • explorer.exe
   • winlogon.exe
   • %todos os processo em execução%

   Se concluir com êxito, o processo de malware termina enquanto a parte injetada permanece ativa.

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • Upack

Descrição enviada por Andrei Gherman em segunda-feira, 16 de junho de 2008
Descrição atualizada por Andrei Gherman em quinta-feira, 19 de junho de 2008

Voltar . . . .