VírusWorm/Autorun.apt
Data em que surgiu:09/09/2008
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:14.229 Bytes
MD5 checksum:efd0575398fa48583d501fb6b9f7b2d3
Versão IVDF:7.00.06.131 - terça-feira, 9 de setembro de 2008

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: W32.Rispif.A
   •  Kaspersky: Worm.Win32.AutoRun.msz
   •  F-Secure: Worm.Win32.AutoRun.msz
   •  Bitdefender: Win32.Worm.Autorun.LW


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega um ficheiro
   • Descarrega um ficheiro malicioso

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\wuauclt.exe
   • %SYSDIR%\dllcache\wuauclt.exe
   • C:\LIS.PIF



São criados os seguintes ficheiros:

– c:\AUTORUN.INF É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%SYSDIR%\Drivers\beep.sys Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Rootkit.Gen




Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://m.c5x8.com/**********/10.exe
Encontra-se no disco rígido: C:\Documents and Settings\10.pif Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: DR/Agent.abpb.1


– A partir da seguinte localização:
   • http://m.c5x8.com/**********/9.exe
Encontra-se no disco rígido: C:\Documents and Settings\9.pif Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Agent.AJVA.5


– A partir da seguinte localização:
   • http://m.c5x8.com/**********/8.exe
Encontra-se no disco rígido: C:\Documents and Settings\8.pif Além disso executa-se depois do download estar completo. Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://m.c5x8.com/**********/7.exe
Encontra-se no disco rígido: C:\Documents and Settings\7.pif Além disso executa-se depois do download estar completo. Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://m.c5x8.com/**********/6.exe
Encontra-se no disco rígido: C:\Documents and Settings\6.pif Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: DR/BHO.agk


– A partir da seguinte localização:
   • http://m.c5x8.com/**********/5.exe
Encontra-se no disco rígido: C:\Documents and Settings\5.pif Além disso executa-se depois do download estar completo. Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://m.c5x8.com/**********/4.exe
Encontra-se no disco rígido: C:\Documents and Settings\4.pif Além disso executa-se depois do download estar completo. Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://m.c5x8.com/**********/3.exe
Encontra-se no disco rígido: C:\Documents and Settings\3.pif Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.JKKF.16


– A partir da seguinte localização:
   • http://m.c5x8.com/**********/2.exe
Encontra-se no disco rígido: C:\Documents and Settings\2.pif Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: DR/Cinmus.rrl


– A partir da seguinte localização:
   • http://m.c5x8.com/**********/1.exe
Encontra-se no disco rígido: C:\Documents and Settings\1.pif Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Crypt.XPACK.Gen


– A partir da seguinte localização:
   • http://m.c5x8.com/**********/x.gif
Encontra-se no disco rígido: %PROGRAM FILES%\ee.pif Além disso executa-se depois do download estar completo. Há uma nova versão do próprio malware.

 Terminar o processo A seguinte lista de processos são terminados:
   • VsTskMgr.exe; Avp.EXE; AVP.COM; Iparmor.exeKVWSC.EXE; kvsrvxp.exe;
      kvsrvxp.kxp; KvXP.kxp; KRegEx.exe; ANTIARP.exe; VPTRAY.exe; VPC32.exe;
      scan32.exe; KASARP.exe; nod32krn.exe; nod32kui.exe; TBMon.exe;
      rfwmain.exe; RavStub.exe; rfwstub.exe; rfwProxy.exe; rfwsrv.exe;
      UpdaterUI.exe; KPfwSvc; kwatch.exe; KAVPFW.EXE; kavstart.exe;
      kmailmon.exe; GFUpd.exe; Ravxp.exe; GuardField.exe; RAVMOND.EXE;
      RAVMON.EXE; CCenter.EXE; RAv.exe; Runiep.exe; ArSwp.EXE; SREngLdr.EXE;
      msconfig.EXE; rfwsrv.EXE; rfwProxy.EXE; rfwstub.EXE; RavStub.EXE;
      rfwmain.EXE; GFUpd.EXE; GuardField.EXE; Runiep.EXE; kavstart.EXE;
      kmailmon.EXE; kwatch.EXE; RAV.EXE; KASARP.EXE; ANTIARP.EXE;
      VPTRAY.EXE; VPC32.EXE; AutoRunKiller.EXE; Regedit.EXE;
      WOPTILITIES.EXE; Ast.EXE; Mmsk.EXE

São terminados os processos com um dos seguintes textos:
   • Norton AntiVirus Server; McAfee Framework; Symantec AntiVirus
      Definition Watcher; Symantec AntiVirus Drivers Services; Symantec
      AntiVirus; worm; anti; virus; Firewall; Mcafee; NOD32; McShield


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Thomas Wegele em quarta-feira, 10 de setembro de 2008
Descrição atualizada por Thomas Wegele em quinta-feira, 11 de setembro de 2008

Voltar . . . .