VírusWorm/Khanani.A
Data em que surgiu:28/01/2008
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De médio a elevado
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:147.456 Bytes
MD5 checksum:889e0Ae6f6e8469c070Ee2ed3c2d58f8
Versão IVDF:7.00.02.61 - segunda-feira, 28 de janeiro de 2008

 Vulgarmente Meios de transmissão:
   • Unidade de rede
   • Peer to Peer


Alias:
   •  Mcafee: W32/Bindo.worm
   •  Kaspersky: P2P-Worm.Win32.Malas.h
   •  F-Secure: P2P-Worm.Win32.Malas.h
   •  Eset: Win32/Malas.D
   •  Bitdefender: Win32.Worm.P2P.Agent.AM


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %TEMPDIR%\svchost.exe
   • %PROGRAM FILES%\Common Files\Microsoft Shared\MSshare.exe
   • %HOME%\userinit.exe
   • %WINDIR%\Web\OfficeUpdate.exe
   • %unidade%:\autoply.exe



São acrescentadas várias secções aos ficheiros.
– Para: %ALLUSERSPROFILE%\Start Menu\Programs\Accessories\Calculator.lnk Com os conteúdos seguintes:
   • %código que executa malware%

– Para: %HOME%\Start Menu\Programs\Accessories\Notepad.lnk Com os conteúdos seguintes:
   • %código que executa malware%

– Para: %HOME%\Start Menu\Programs\Accessories\Command Prompt.lnk Com os conteúdos seguintes:
   • %código que executa malware%




São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • %HOME%\Desktop\Important.htm
   • %HOME%\My Documents\Important.htm
   • %HOME%\Desktop\Iran_Israel.Jpg
   • %HOME%\My Documents\Iran_Israel.Jpg
   • %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Iran_Israel.Jpg

%unidade%:\Autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

– %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Office Update.lnk
%WINDIR%\tasks\at1.job Tarefa agendada que executa o malware em horários predefinidos.
%WINDIR%\tasks\at2.job Tarefa agendada que executa o malware em horários predefinidos.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • SoundMax = %HOME%\userinit.exe



Os valores das seguintes chaves registo do windows são eliminados:

–  [HKCR\lnkfile]
   • IsShortCut

–  [HKCR\piffile]
   • IsShortCut

–  [HKCR\InternetShortcut]
   • IsShortCut



Altera as seguintes chaves de registo do Windows:

Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor anterior:
   • Hidden = %definições do utilizador %
   • HideFileExt = %definições do utilizador %
   • ShowSuperHidden = %definições do utilizador %
   Valor recente:
   • Hidden = 2
   • HideFileExt = 2
   • ShowSuperHidden = 2

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor recente:
   • Nofolderoptions = 1

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção:


Procura o seguintes directórios:
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\
   • %PROGRAM FILES%\Kazaa\My Shared Folder\
   • %PROGRAM FILES%\Edonkey2000\Incoming\
   • %PROGRAM FILES%\Icq\Shared Files\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\Gnucleus\Downloads\Incoming\
   • %PROGRAM FILES%\KMD\My Shared Folder\
   • %PROGRAM FILES%\Limewire\Shared\
   • %PROGRAM FILES%\XPCode\
   • C:\Inetpub\ftproot\

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • Sex_ScreenSaver.scr
   • Sex_Game.exe
   • SexGame.exe
   • SexScreenSaver.scr
   • SexGameList.pif
   • Games.lnk

   Os ficheiros são cópias do próprio malware.



O directório partilhado pode ter a seguinte aparência:


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.

Descrição enviada por Andrei Gherman em segunda-feira, 16 de junho de 2008
Descrição atualizada por Andrei Gherman em segunda-feira, 16 de junho de 2008

Voltar . . . .