Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Kolabc.WN
Data em que surgiu:23/04/2008
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:Mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:52.624 Bytes
MD5 checksum:65cf5d3bc5efd0d4ffcf83bfb59ba33b
Verso VDF:7.00.03.203

 Vulgarmente Meios de transmisso:
   • Rede local
   • Unidade de rede


Alias:
   •  Symantec: W32.IRCbot
   •  Mcafee: Puper
   •  Kaspersky: Net-Worm.Win32.Kolabc.wn
   •  F-Secure: Net-Worm.Win32.Kolabc.wn
   •  Panda: W32/Sdbot.LUQ.worm
   •  VirusBuster: Worm.Poebot.OA
   •  Eset: Win32/Poebot.NBF
   •  Bitdefender: Backdoor.IRCBot.ACGJ


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Informao de roubos
   • Possibilita acesso no autorizado ao computador

 Ficheiros Envia uma cpia de si mesmo usando um nome seguinte lista:
Para: %SYSDIR%\ Usando um dos nomes seguintes:
   • winamp.exe
   • winIogon.exe
   • firewall.exe
   • spooIsv.exe
   • spoolsvc.exe
   • Isass.exe
   • lssas.exe
   • algs.exe
   • logon.exe
   • iexplore.exe




criado o seguinte ficheiro:

%directrio de execuo do malware%:\%cinco caracteres aleatrios%.bat Alm disso executa-se depois de gerado. Este ficheiro de processamento em lote usado para apagar um ficheiro.



Tenta efectuar o download de alguns ficheiros:

A partir da seguinte localizao:
   • http://alwayssam**********
Encontra-se no disco rgido: %SYSDIR%\%uma srie de caracteres aleatrios%.exe Alm disso executa-se depois do download estar completo. Outras investigaes apontam para que este ficheiro, tambm, seja malware.

A partir da seguinte localizao:
   • http://alwayssam**********
Encontra-se no disco rgido: %SYSDIR%\%uma srie de caracteres aleatrios%.exe Alm disso executa-se depois do download estar completo. Outras investigaes apontam para que este ficheiro, tambm, seja malware.

A partir da seguinte localizao:
   • http://alwayssam**********
Encontra-se no disco rgido: %SYSDIR%\%uma srie de caracteres aleatrios%.exe Alm disso executa-se depois do download estar completo. Outras investigaes apontam para que este ficheiro, tambm, seja malware.

A partir da seguinte localizao:
   • http://zonetech**********
Encontra-se no disco rgido: %SYSDIR%\%uma srie de caracteres aleatrios%.exe Alm disso executa-se depois do download estar completo. Outras investigaes apontam para que este ficheiro, tambm, seja malware. Este ficheiro de processamento em lote usado para apagar um ficheiro.

 Registry (Registo do Windows) So adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Windows Network Firewall="%SYSDIR%\firewall.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Winamp Agent"="%SYSDIR%\winamp.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Spooler SubSystem App"="%SYSDIR%\spoolsvc.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Logon Application"="%SYSDIR%\winIogon.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Logon Application"="%SYSDIR%\logon.exe"

 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.

Envia cpias de si prprio s seguintes partilhas de rede:
   • IPC$
   • print$
   • C$\Documents and Settings\All Users\Documents\$
   • admin$
   • Admin$\system32
   • c$\windows\system32
   • c$\winnt\system32
   • c$\windows
   • c$\winnt
   • e$\shared
   • d$\shared
   • c$\shared


Usa a seguinte informao de login para ganhar acesso mquina remota:

A seguinte lista de nomes de utilizadores:
   • staff; teacher; owner; student; intranet; lan; main; office; control;
      siemens; compaq; dell; cisco; ibm; oracle; sql; data; access;
      database; domain; god; backup; technical; mary; katie; kate; george;
      eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
      luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
      user; homeuser; home; internet; www; web; root; server; linux; unix;
      computer; adm; admin; admins; administrat; administrateur;
      administrador; administrator

A seguinte lista de palavras-chave:
   • winpass; blank; nokia; orainstall; sqlpassoainstall; databasepassword;
      databasepass; dbpassword; dbpass; domainpassword; domainpass; hello;
      hell; love; money; slut; bitch; fuck; exchange; loginpass; login; qwe;
      zxc; asd; qaz; win2000; winnt; winxp; win2k; win98; windows;
      oeminstall; oem; accounting; accounts; letmein; sex; outlook; mail;
      qwerty; temp123; temp; null; default; changeme; demo; test; secret;
      payday; deadline; work; pwd; pass; pass1234; dba; passwd; password;
      password1



Processo de infeco:
Cria um script TFTP ou FTP na mquina a atacada para permitir o download do malware da mquina atacante.

 IRC Para enviar informao do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: hub.54**********
Porta: 1863
Canal #las6;#rs2;#fox;# 63;# kok6
Nickname: Cyzuzeof
Palavra-chave stseelkvyyrucnss

Servidor: xx.ka3**********
Porta: 5190
Canal #las6;#rs2;#fox;# 63;# kok6
Nickname: Cyzuzeof

Servidor: p.ircs**********
Porta: 8080
Canal #las6;#rs2;#fox;# 63;# kok6
Nickname: Cyzuzeof

Servidor: n.ircs**********
Porta: 5555
Canal #las6;#rs2;#fox;# 63;# kok6
Nickname: Cyzuzeof

Servidor: xx.sql**********
Porta: 7000
Canal las6;#rs2;#fox;# 63;# kok6
Nickname: Cyzuzeof



 Este malware tem a capacidade de recolher e enviar a seguinte informao:
    • Utilizador Actual
    • Espao disponvel no disco
    • Memria disponvel
    • Tempo de vida do malware
    • Informaes sobre a rede
    • Nome de utilizador
    • Informao sobre o sistema operativo Windows


 Para alm disso tem a capacidade de executar as seguintes aces:
     Liga-se ao servidor de IRC
     Desliga-se do servidor de IRC
    • Ligao ao canal IRC
    • Abandona canais IRC
    • Upload de ficheiros

 Roubos de informao Tenta roubar a seguinte informao:
 Palavras-chave digitadas em 'campos de entrada de palavras-chave'
 Palavras-chave guardadas e que so usadas pela funo AutoComplete

As palavras-chave dos seguintes programas:
   • UnrealIRCD
   • Steam
   • World Of Warcraft
   • Conquer Online

Usa um sniffer de rede para pesquisar os seguintes textos:
   • irc operator; paypal; paypal.com; cd key; cd-key; cdkey; passwort;
      auth; sxt; login; pass=; login=; password=; username=; passwd=; :auth;
      identify; oper; MailPass; pass; unknown; user

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com o seguinte empacotador de runtime:
   • WinUpack

Descrição enviada por Alexandru Dinu em quarta-feira, 30 de julho de 2008
Descrição atualizada por Alexandru Dinu em quarta-feira, 30 de julho de 2008

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.