VírusWorm/Zhelatin.ZI
Data em que surgiu:22/07/2008
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Baixo
Ficheiro estático:Não
Tamanho:90624 Bytes
MD5 checksum:a9d0ed60fec2530a497554de364d5693
Versão IVDF:7.00.05.148 - terça-feira, 22 de julho de 2008

 Vulgarmente Meios de transmissão:
   • E-mail
   • Rede local


Alias:
   •  Kaspersky: Email-Worm.Win32.Zhelatin.aep
   •  Bitdefender: Dropped:Rootkit.Agent.AITJ


Sistemas Operativos:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros

 Ficheiros São criados os seguintes ficheiros:

%WINDIR%\glok+serv.config É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • [config]
     [local]
     [peers]
     0000472DD17ECA4C2F0BB96FD7794A73=D9DA078C2AD400
     01006023137DA429CD240A468A5CFB77=D3F6E118166700
     0200AA5495413422502AAA57FB00CB2C=CA803A63585600
     0300EA776E0AA0591202531C3F0D4F53=7647B0A8321700
     04001B29A86C3570BF00D7351501460F=5C2E073C265300
     0500A71EC719C622B27ADE6BE2416463=C879C5BC09A100
     06001709255A3721431D0E69732E9551=3A4049CE049D00
     0700F41EF75A8D012D7D1F0C894B2F55=7C6B254D23A300
     0800BA60242320060233666E5C135067=3D11CBE4206900
     09004D0B336B44757A3D475AB0355C6D=76449C14337400
     0A0011554065B727F03B167C971C3136=599789651ABE00
     0B0082735501391F296AFA369A3BA822=DEE1913F504B00
     0C00387F7570B2105E017737C1283A7A=7B1600401B3300
     0D00F67D3654AC6C35099F55A41C6E67=44979EC5589400
     

%WINDIR%\glok+22bd-6274.sys Além disso executa-se depois de gerado. Detectado como: TR/Rootkit.Gen

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\System\ControlSet001\Services\glok+b89-6227
   • %WINDIR%\glok+b89-6227.sys

 Mailing Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • postmaster@; root@; @avp.; panda; abuse; @messagelab; free-av; @foo;
      ntivi; admin; kasp; noone@; info@; help@; f-secur; @microsoft; rating@

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Criação de endereços IP:
Cria endereços IP aleatórios e tenta estabelecer uma ligação com eles.

 Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.


Oculta o seguinte:
– Os seus próprios ficheiros
– As suas próprias chaves de registo

– Os seguintes ficheiros:
   • glok+22bd-6274.sys
   • glok+serv.config

– As seguintes chaves do Registo:
   • HKLM\System\ControlSet001\Services\glok+b89-6227
   • HKLM\System\ControlSet001\Enum\Root\legacy_glok+b89-6227
   • HKLM\System\ControlSet001\Enum\Root\LEGACY_GLOK+B89-6227\0000


Forma utilizada
    • Escondido da Tabela de Descriptores Interrupção (IDT)

Bloqueia as seguintes funções API:
   • ZwEnumerateKey
   • ZwEnumerateValueKey
   • ZwQueryDirectoryFile

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Viktor Graeber em terça-feira, 22 de julho de 2008
Descrição atualizada por Viktor Graeber em terça-feira, 22 de julho de 2008

Voltar . . . .