VírusWorm/Recycled.A
Data em que surgiu:11/12/2008
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:13824 Bytes
MD5 checksum:23e7f5e4fd224edcf124fa39e76e3f24
Versão VDF:7.00.04.201
Versão IVDF:7.00.04.205 - terça-feira, 17 de junho de 2008

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: Win32/Hamweq.A
   •  Mcafee: DDoS-Leba
   •  Kaspersky: IRC-Worm.Win32.Small.t
   •  F-Secure: IRC-Worm.Win32.Small.t
   •  Sophos: W32/Autoham-Fam
   •  Grisoft: Worm/Generic.HGW
   •  Eset: Win32/AutoRun.KS
   •  Bitdefender: Backdoor.Agent.ZKX


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe



Cria a seguinte pasta:
   • c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013



É criado o seguinte ficheiro:

– c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • [.ShellClassInfo]
     CLSID={645FF040-5081-101B-9F08-00AA002F954E}

 Registry (Registo do Windows) É adicionada a seguinte chave de registo:

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
   • StubPath="c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe"

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: hail.dns2go.**********
Porta: 7000
Palavra-chave do servidor: 01470147
Nickname: mtnelf

Servidor: scorti1.dns2go.**********
Porta: 7000
Palavra-chave do servidor: 01470147
Nickname: mtnelf


– Para além disso tem a capacidade de executar as seguintes acções:
    • Lança DDoS SYN floods
    • Lança DDoS UDP floods
    • Ligação ao canal IRC

 Introdução de código viral noutros processos – Introduz-se a si próprio num processo.

    Todos os processos que se seguem:
   • firefox.exe
   • explorer.exe


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Monica Ghitun em quinta-feira, 11 de dezembro de 2008
Descrição atualizada por Monica Ghitun em quarta-feira, 17 de dezembro de 2008

Voltar . . . .