VírusWorm/Zimuse.A
Data em que surgiu:25/01/2010
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Médio
Nível de distribuição:De baixo a médio
Nível de risco:De médio a elevado
Ficheiro estático:Não
Versão IVDF:7.10.03.65 - segunda-feira, 25 de janeiro de 2010

 Vulgarmente Meio de transmissão:
• Autorun feature (pt)


Alias:
   •  Symantec: W32.Zimuse
   •  Kaspersky: Virus.Win32.Mseus.a
   •  F-Secure: Dropped:Worm.Zimus.A
   •  Sophos: W32/Mseus-A
   •  VirusBuster: Worm.Mseus.A
   •  Eset: Win32/Zimuse.B
   •  Bitdefender: Worm.Zimuse.A


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows


Depois da execução executa um aplicação que exibe a janela seguinte:


 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\tokset.dll



Elimina os seguintes ficheiros:
   • C:\NTDETECT.COM
   • C:\NTLDR
   • C:\BOOTMGR
   • C:\HYBERFILE.SYS
   • C:\BOOT.INI



São criados os seguintes ficheiros:

– Ficheiro não malicioso:
   • c:\IQTEST\Iqtest.exe

– c:\IQTEST\Readme.txt É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • Iqtest is configured. To start of IQ test, run IQTEST.EXE in this folder.

%unidade%\ainf.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • [autorun]
     shellexecute=zipsetup.exe /H

%WINDIR%\system32 \DRIVERS\Mstart.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Zimuse.A.4

%SYSDIR%\DRIVERS\Mseu.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Zimuse.A.1

%SYSDIR%\msues.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Zimuse.A.2

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Dump="%PROGRAM FILES%\Dump\Dump.exe"

– [HKLM\SYSTEM\ControlSet001\Services\Eventlog\System\MSTART]
   • EventMessageFile=%SystemRoot%\System32\Drivers\MSTART.SYS;%WINDIR%\MSTART.SYS
   • TypesSupported=dword:7

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • PE Compact

Descrição enviada por Thomas Wegele em terça-feira, 26 de janeiro de 2010
Descrição atualizada por Thomas Wegele em terça-feira, 26 de janeiro de 2010

Voltar . . . .