VírusW32/Chir.B
Data em que surgiu:30/08/2005
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Médio
Nível de risco:De médio a elevado
Ficheiro estático:Não
Versão IVDF:6.31.01.194 - terça-feira, 30 de agosto de 2005

 Vulgarmente Meios de transmissão:
   • E-mail
   • Rede local


Alias:
   •  Symantec: W32.Chir.B@mm
   •  Mcafee: W32/Chir.b@MM virus
   •  Kaspersky: Email-Worm.Win32.Runouce.b
   •  F-Secure: Email-Worm.Win32.Runouce.b
   •  Sophos: W32/Chir-B
   •  Panda: W32/Chir.B
   •  Grisoft: Win32/Chir.B@mm
   •  Eset: Win32/Chir.B worm
   •  Bitdefender: Win32.Parite.B


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Utiliza o seu próprio motor de E-mail

 Detecção especial  Histórico da versão:
Criou-se a seguinte actualização do motor para aumentar o grau de eficiência:

   •  7.09.04.22/8.02.04.22   ( 20/07/2010 )

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\runouce.exe



É criado o seguinte ficheiro:

– Cópia com codificação MIME de si mesmo:
   • Readme.eml

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Runonce"="%SYSDIR%\runouce.exe"

 Infecção de ficheiros Forma:

Este atacante pesquisa ficheiros activamente.

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.


Assunto:
O seguinte:
   • %nome de utilizador do endereço de e-mail remetente% is
      coming!



Atalho:
O ficheiro de atalho tem o seguinte nome:
   • PP.exe

O ficheiro de atalho é uma cópia do malware.

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • ChineseHacker-2


Texto:
Além disso tem o seguinte texto:
   • Net Send * My god! Some one killed ChineseHacker-2 Monitor

Descrição enviada por Thomas Wegele em quinta-feira, 13 de novembro de 2008
Descrição atualizada por Andrei Ivanes em quinta-feira, 23 de dezembro de 2010

Voltar . . . .