VírusWorm/Drefir.E
Data em que surgiu:24/06/2005
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:128.328 Bytes
MD5 checksum:33be61dcfce0efaf88fda9adda4ddf7c
Versão IVDF:6.31.00.108 - sexta-feira, 24 de junho de 2005

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Mcafee: W32/Drefir.worm
   •  Sophos: W32/Dref-C
   •  Panda: W32/Drefir.E.worm
   •  Eset: Win32/Drefir.E
   •  Bitdefender: Win32.Worm.Drefir.E.DAM@MM


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\SysDrefIWv2.exe

 Registry (Registo do Windows) Para cada chave de registo é adicionado um dos seguintes valores para executar os processos depois reinicializar:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe



Altera as seguintes chaves de registo do Windows:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Valor recente:
   • "%directório de execução do malware%\%ficheiro executado%" = "%directório de execução do malware%\%ficheiro executado%:*:Enabled:%ficheiro executado%"

Desactiva a Firewall do Windows
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor recente:
   • "Start" = 00000004

 E-mail Utiliza o Messaging Application Programming Interface (MAPI) para enviar e-mails. As características são as seguintes:


De:
O endereço do remetente é a conta do utilizador do Outlook.


Para:
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
Um dos seguintes:
   • just read it,its fantastic
   • here are the porn you asked me to show you...
   • here are the programms you asked me to mail you
   • for any help,mail me back
   • please read again what i have written to you !
   • here are the pictures you asked me to send you.
   • My Story
   • Your Stuff
   • Your Files



Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • Story.scr
   • linda.scr
   • musicbox.exe
   • mail.scr
   • pictures_1.exe
   • My Life.rar
   • porn.rar
   • package1.rar
   • info.rar
   • pictures.rar

O ficheiro de atalho é uma cópia do malware.

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: irc.e**********.net
Porta: 6667

Servidor: eu.u**********.org
Porta: 6667

Servidor: us.u**********.org
Porta: 6667

Servidor: irc.d**********.net
Porta: 6667

Servidor: irc.r**********.net
Porta: 6667

Servidor: irc.fr.i**********.net
Porta: 6667

Servidor: irc.i**********.ee
Porta: 6667

Servidor: random.i**********.de
Porta: 6667

Servidor: irc.us.i**********.net
Porta: 6667

Servidor: irc.q**********.org
Porta: 6667

Servidor: leak.e**********.co.uk
Porta: 8080
Canal #irc


– Para além disso tem a capacidade de executar as seguintes acções:
    • Envia emails
    • Visita um Web site

 Informações diversas  Procura uma ligação de internet contactando o seguinte web site:
   • http://www.google.com/

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 5 de fevereiro de 2010
Descrição atualizada por Petre Galan em sexta-feira, 5 de fevereiro de 2010

Voltar . . . .