Full description

Nume:	Worm/Drefir.E
Descoperit pe data de:	24/06/2005
Tip:	Vierme
ITW:	Da
Numar infectii raportate:	Scazut spre mediu
Potential de raspandire:	Scazut spre mediu
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	128.328 Bytes
MD5:	33be61dcfce0efaf88fda9adda4ddf7c
Versiune IVDF:	6.31.00.108 - sexta-feira, 24 de junho de 2005

General Metoda de raspandire:
   • Email

Alias:
   • Mcafee: W32/Drefir.worm
   • Sophos: W32/Dref-C
   • Panda: W32/Drefir.E.worm
   • Eset: Win32/Drefir.E
   • Bitdefender: Win32.Worm.Drefir.E.DAM@MM

Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Creeaza un fisier malware
   • Reduce setarile de securitate
   • Modificari in registri

Fisiere Se copiaza in urmatoarea locatie:
• %SYSDIR%\SysDrefIWv2.exe

Registrii sistemului Se adauga una din valorile urmatoare pentru fiecare cheie din registri, pentru a porni procesul dupa reboot:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe

Urmatoarele chei din registri sunt modificate:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Noua valoare:
   • "%directorul de activare malware%\%fisier executat%" = "%directorul de activare malware%\%fisier executat%:*:Enabled:%fisier executat%"

Dezactiveaza Windows XP Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Noua valoare:
   • "Start" = 00000004

Email Foloseste Messaging Application Programming Interface (MAPI) pentru a trimite email-uri. Iata caracteristicile lui:

De la:
De la: Adresa expeditorului este chiar contul Outlook al utilizatorului

Catre:
– Adrese de email obtinute din WAB (Windows Address Book)

Subiect:
Unul din urmatoarele:
   • just read it,its fantastic
   • here are the porn you asked me to show you...
   • here are the programms you asked me to mail you
   • for any help,mail me back
   • please read again what i have written to you !
   • here are the pictures you asked me to send you.
   • My Story
   • Your Stuff
   • Your Files

Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • Story.scr
   • linda.scr
   • musicbox.exe
   • mail.scr
   • pictures_1.exe
   • My Life.rar
   • porn.rar
   • package1.rar
   • info.rar
   • pictures.rar

Atasamentul este o copie malware.

IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: irc.e**********.net
Port: 6667

Server: eu.u**********.org
Port: 6667

Server: us.u**********.org
Port: 6667

Server: irc.d**********.net
Port: 6667

Server: irc.r**********.net
Port: 6667

Server: irc.fr.i**********.net
Port: 6667

Server: irc.i**********.ee
Port: 6667

Server: random.i**********.de
Port: 6667

Server: irc.us.i**********.net
Port: 6667

Server: irc.q**********.org
Port: 6667

Server: leak.e**********.co.uk
Port: 8080
Canal: #irc

– In plus, poate efectua urmatoarele operatii:
• trimitere email-uri
• Vizitarea unui website

Alte informatii Cauta o conexiune Internet, contactand urmatorul website:
• http://www.google.com/

Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Petre Galan em sexta-feira, 5 de fevereiro de 2010
Descrição atualizada por Petre Galan em sexta-feira, 5 de fevereiro de 2010

Voltar . . . .

Proteçao especial para PCs

Produtos gratuitos

Produtos mais populares

Todos os produtos

Soluçoes em pacote

Estaçoes de trabalho

Server

Soluçoes em pacote

Mail Gateways

Web Gateways

Plataformas de colaboraçao

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas