Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Pushbot.NR.1
Data em que surgiu:13/10/2009
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:De baixo a mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:75.776 Bytes
MD5 checksum:bcae72a511b2c005dbd46b96345f2bc2
Verso IVDF:7.01.06.104 - terça-feira, 13 de outubro de 2009

 Vulgarmente Meio de transmisso:
    Autorun feature (pt)
    Messenger
   • Peer to Peer


Alias:
   •  Panda: W32/MSNWorm.HI
   •  Eset: Win32/AutoRun.IRCBot.CX
   •  Bitdefender: Trojan.Generic.2522251


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Possibilita acesso no autorizado ao computador
Can be used to lower security settings (pt)

 Ficheiros Autocopia-se para as seguintes localizaes
   • %WINDIR%\livemessenger.com
   • %unidade%\RECYCLER\%CLSID%\usb.exe



So criados os seguintes ficheiros:

%unidade%\RECYCLER\%CLSID%\Desktop.ini
%unidade%\autorun.inf um ficheiro de texto no malicioso com o seguinte contedo:
   •




Tenta efectuar o download de alguns ficheiros:

A partir da seguinte localizao:
   • http://browseusers.myspace.com/Browse/**********


A partir da seguinte localizao:
   • http://www.messengermsnimages.net/yah/**********

 Registry (Registo do Windows) Para cada chave de registo adicionado um dos seguintes valores para executar os processos depois reinicializar:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Update"="livemessenger.com"

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Update"="livemessenger.com"



Cria a seguinte entrada de forma a fazer um bypass firewall do Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%ficheiro executado%"="%ficheiro
      executado%
:*:Enabled:Microsoft Update"

 P2P Procura o seguintes directrios:
   • %PROGRAM FILES%\winmx\shared\
   • %PROGRAM FILES%\tesla\files\
   • %PROGRAM FILES%\limewire\shared\
   • %PROGRAM FILES%\morpheus\my shared folder\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\edonkey2000\incoming\
   • %PROGRAM FILES%\bearshare\shared\
   • %PROGRAM FILES%\grokster\my grokster\
   • %PROGRAM FILES%\icq\shared folder\
   • %PROGRAM FILES%\kazaa lite k++\my shared folder\
   • %PROGRAM FILES%\kazaa lite\my shared folder\
   • %PROGRAM FILES%\kazaa\my shared folder\

   Em caso de ser bem sucedido, so criados os seguintes ficheiros:
   • DivX 5.0 Pro KeyGen.exe; Counter-Strike KeyGen.exe; IP Nuker.exe;
      Website Hacker.exe; Keylogger.exe; AOL Password Cracker.exe; ICQ
      Hacker.exe; AOL Instant Messenger (AIM) Hacker.exe; MSN Password
      Cracker.exe; Microsoft Visual Studio KeyGen.exe; Microsoft Visual
      Basic KeyGen.exe; Microsoft Visual C++ KeyGen.exe; Sub7 2.3
      Private.exe; sdbot with NetBIOS Spread.exe; L0pht 4.0 Windows Password
      Cracker.exe; Windows Password Cracker.exe; NetBIOS Cracker.exe;
      NetBIOS Hacker.exe; DCOM Exploit.exe; Norton Anti-Virus 2005
      Enterprise Crack.exe; Hotmail Cracker.exe; Hotmail Hacker.exe; Brutus
      FTP Cracker.exe; FTP Cracker.exe; Password Cracker.exe; Half-Life 2
      Downloader.exe; UT 2003 KeyGen.exe; Windows 2003 Advanced Server
      KeyGen.exe


 Messenger Propaga-se atravs do Messenger. Tem as seguintes caractersticas:

 AIM Messenger
 MSN Messenger
 Yahoo Messenger


Mensagem

   • Schauen Sie dieses Bild an %ficheiro executado%
     Look at this picture %ficheiro executado%
     mire este retrato %ficheiro executado%
     regarder cette image %ficheiro executado%
     guardare quest'immagine %ficheiro executado%
     Seen this? :D %ficheiro executado%

O URL aponta para uma cpia do malware descrito. Se o utilizador descarregar e executar este ficheiro ter incio o processo de infeco do seu computador.

 IRC Para enviar informaes do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: update.xx**********.com
Canal #!m!
Nickname: [USA|XP|%nmero% ]

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em quinta-feira, 11 de março de 2010
Descrição atualizada por Petre Galan em segunda-feira, 15 de março de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.