Nume:Worm/Khanani.A
Descoperit pe data de:28/01/2008
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:147.456 Bytes
MD5:889e0Ae6f6e8469c070Ee2ed3c2d58f8
Versiune IVDF:7.00.02.61 - segunda-feira, 28 de janeiro de 2008

 General Metode de raspandire:
   • Discuri de retea mapate
   • Peer to Peer


Alias:
   •  Mcafee: W32/Bindo.worm
   •  Kaspersky: P2P-Worm.Win32.Malas.h
   •  F-Secure: P2P-Worm.Win32.Malas.h
   •  Eset: Win32/Malas.D
   •  Bitdefender: Win32.Worm.P2P.Agent.AM


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %TEMPDIR%\svchost.exe
   • %PROGRAM FILES%\Common Files\Microsoft Shared\MSshare.exe
   • %HOME%\userinit.exe
   • %WINDIR%\Web\OfficeUpdate.exe
   • %unitate disc%:\autoply.exe



Urmatoarelor fisiere le sunt adaugate sectiuni:
– Catre: %ALLUSERSPROFILE%\Start Menu\Programs\Accessories\Calculator.lnk Cu urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– Catre: %HOME%\Start Menu\Programs\Accessories\Notepad.lnk Cu urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– Catre: %HOME%\Start Menu\Programs\Accessories\Command Prompt.lnk Cu urmatorul continut:
   • %cod care ruleaza fisierul malitios%




Sunt create fisierele:

– Fisiere inofensive:
   • %HOME%\Desktop\Important.htm
   • %HOME%\My Documents\Important.htm
   • %HOME%\Desktop\Iran_Israel.Jpg
   • %HOME%\My Documents\Iran_Israel.Jpg
   • %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Iran_Israel.Jpg

%unitate disc%:\Autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Office Update.lnk
– %WINDIR%\tasks\at1.job Fisierul este o activitate programata care ruleaza malware-ul la ore predefinite.
– %WINDIR%\tasks\at2.job Fisierul este o activitate programata care ruleaza malware-ul la ore predefinite.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • SoundMax = %HOME%\userinit.exe



Valorile urmatoarelor chei sunt sterse din registrii sistemului:

–  [HKCR\lnkfile]
   • IsShortCut

–  [HKCR\piffile]
   • IsShortCut

–  [HKCR\InternetShortcut]
   • IsShortCut



Urmatoarele chei din registri sunt modificate:

Diverse setari in Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Vechea valoare:
   • Hidden = %setarile utilizatorului%
   • HideFileExt = %setarile utilizatorului%
   • ShowSuperHidden = %setarile utilizatorului%
   Noua valoare:
   • Hidden = 2
   • HideFileExt = 2
   • ShowSuperHidden = 2

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Noua valoare:
   • Nofolderoptions = 1

 P2P  Pentru a infecta alte sisteme din retele Peer-to-Peer, efectueaza urmatarele operatii:  


Cauta urmatoarele directoare:
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\
   • %PROGRAM FILES%\Kazaa\My Shared Folder\
   • %PROGRAM FILES%\Edonkey2000\Incoming\
   • %PROGRAM FILES%\Icq\Shared Files\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\Gnucleus\Downloads\Incoming\
   • %PROGRAM FILES%\KMD\My Shared Folder\
   • %PROGRAM FILES%\Limewire\Shared\
   • %PROGRAM FILES%\XPCode\
   • C:\Inetpub\ftproot\

   Daca reuseste, sunt create urmatoarele fisiere:
   • Sex_ScreenSaver.scr
   • Sex_Game.exe
   • SexGame.exe
   • SexScreenSaver.scr
   • SexGameList.pif
   • Games.lnk

   Aceste fişiere sunt copii ale malware-ului.



Directorul partajat poate arata astfel:


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Descrição enviada por Andrei Gherman em segunda-feira, 16 de junho de 2008
Descrição atualizada por Andrei Gherman em segunda-feira, 16 de junho de 2008

Voltar . . . .