Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Drefir.E
Data em que surgiu:24/06/2005
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:De baixo a mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:128.328 Bytes
MD5 checksum:33be61dcfce0efaf88fda9adda4ddf7c
Verso IVDF:6.31.00.108 - sexta-feira, 24 de junho de 2005

 Vulgarmente Meio de transmisso:
   • E-mail


Alias:
   •  Mcafee: W32/Drefir.worm
   •  Sophos: W32/Dref-C
   •  Panda: W32/Drefir.E.worm
   •  Eset: Win32/Drefir.E
   •  Bitdefender: Win32.Worm.Drefir.E.DAM@MM


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega um ficheiro malicioso
   • Baixa as definies de segurana
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\SysDrefIWv2.exe

 Registry (Registo do Windows) Para cada chave de registo adicionado um dos seguintes valores para executar os processos depois reinicializar:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe



Altera as seguintes chaves de registo do Windows:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Valor recente:
   • "%directrio de execuo do malware%\%ficheiro executado%" = "%directrio de execuo do malware%\%ficheiro executado%:*:Enabled:%ficheiro executado%"

Desactiva a Firewall do Windows
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor recente:
   • "Start" = 00000004

 E-mail Utiliza o Messaging Application Programming Interface (MAPI) para enviar e-mails. As caractersticas so as seguintes:


De:
O endereo do remetente a conta do utilizador do Outlook.


Para:
 Endereos de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
Um dos seguintes:
   • just read it,its fantastic
   • here are the porn you asked me to show you...
   • here are the programms you asked me to mail you
   • for any help,mail me back
   • please read again what i have written to you !
   • here are the pictures you asked me to send you.
   • My Story
   • Your Stuff
   • Your Files



Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • Story.scr
   • linda.scr
   • musicbox.exe
   • mail.scr
   • pictures_1.exe
   • My Life.rar
   • porn.rar
   • package1.rar
   • info.rar
   • pictures.rar

O ficheiro de atalho uma cpia do malware.

 IRC Para enviar informao do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: irc.e**********.net
Porta: 6667

Servidor: eu.u**********.org
Porta: 6667

Servidor: us.u**********.org
Porta: 6667

Servidor: irc.d**********.net
Porta: 6667

Servidor: irc.r**********.net
Porta: 6667

Servidor: irc.fr.i**********.net
Porta: 6667

Servidor: irc.i**********.ee
Porta: 6667

Servidor: random.i**********.de
Porta: 6667

Servidor: irc.us.i**********.net
Porta: 6667

Servidor: irc.q**********.org
Porta: 6667

Servidor: leak.e**********.co.uk
Porta: 8080
Canal #irc


 Para alm disso tem a capacidade de executar as seguintes aces:
    • Envia emails
     Visita um Web site

 Informaes diversas  Procura uma ligao de internet contactando o seguinte web site:
   • http://www.google.com/

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 5 de fevereiro de 2010
Descrição atualizada por Petre Galan em sexta-feira, 5 de fevereiro de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.