VírusWorm/Autorun.dcm
Data em que surgiu:27/03/2008
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:13.824 Bytes
MD5 checksum:7e924990480D44af6a239329b2e682cb
Versão VDF:7.00.03.77
Versão IVDF:7.00.03.82 - quinta-feira, 27 de março de 2008

 Vulgarmente Meio de transmissão:
   • Unidade de rede


Alias:
   •  Kaspersky: Worm.Win32.AutoRun.dcm
   •  F-Secure: Worm.Win32.AutoRun.dcm
   •  Grisoft: Worm/Generic.GRV
   •  Eset: Win32/AutoRun.KS
   •  Bitdefender: Win32.Worm.TQW


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizações
   • %lixeira%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe
   • %unidade%:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe



São criados os seguintes ficheiros:

– Ficheiro não malicioso:
   • %lixeira%\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
   • StubPath="%lixeira%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe"

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: tassweq.com
Porta: 7000
Palavra-chave do servidor: trb123trb
Canal #alhailam
Nickname: %uma série de caracteres aleatórios%


– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Lança DDoS SYN floods
    • Lança DDoS UDP floods
    • Ligação ao canal IRC

 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa remota num processo.

    Nome do processo:
   • EXPLORER.EXE

   Se concluir com êxito, o processo de malware termina enquanto a parte injetada permanece ativa.

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Ana Maria Niculescu em sexta-feira, 13 de junho de 2008
Descrição atualizada por Andrei Gherman em quinta-feira, 31 de julho de 2008

Voltar . . . .