VírusWorm/Waledac.48640
Data em que surgiu:18/03/2009
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Médio
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:48.640 Bytes
MD5 checksum:f9117bf6469b48d8240F4f09aa5adca5
Versão IVDF:7.01.02.184 - quarta-feira, 18 de março de 2009

 Vulgarmente Alias:
   •  Mcafee: W32/Waledac.gen.e
   •  Sophos: Mal/WaledPak-A
   •  Panda: W32/Iksmas.F.worm
   •  Eset: Win32/Waledac.HL
   •  Bitdefender: Trojan.Waledac.DB


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\1042m.exe



Apaga a cópia executada inicialmente.



É criado o seguinte ficheiro:

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %SYSDIR%\1962655114.dat




Tenta efectuar o download do ficheiro:

– A partir das seguintes localizações:
   • http://ShopVideoSchools.cn/v3/**********
   • http://ShopFilmWorld.cn/v3/**********
   • http://MartPictureExistence.cn/v3/**********
   • http://ShopPictureLife.cn/v3/**********
   • http://ShopPigLiving.cn/v3/**********
   • http://ShopVideoFest.cn/v3/**********
Ainda em fase de pesquisa.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccessdmadmin]
   • "ImagePath"="%SYSDIR%\1042m.exe srv"
   • "DisplayName"="Routing and Remote Access RemoteAccessdmadmin"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x2
   • "ErrorControl"=dword:0x0
   • "Type"=dword:0x110

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quinta-feira, 15 de outubro de 2009

Voltar . . . .