VírusWorm/Pushbot.NR.1
Data em que surgiu:13/10/2009
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:75.776 Bytes
MD5 checksum:bcae72a511b2c005dbd46b96345f2bc2
Versão IVDF:7.01.06.104 - terça-feira, 13 de outubro de 2009

 Vulgarmente Meio de transmissão:
   • Autorun feature (pt)
   • Messenger
   • Peer to Peer


Alias:
   •  Panda: W32/MSNWorm.HI
   •  Eset: Win32/AutoRun.IRCBot.CX
   •  Bitdefender: Trojan.Generic.2522251


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador
Can be used to lower security settings (pt)

 Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\livemessenger.com
   • %unidade%\RECYCLER\%CLSID%\usb.exe



São criados os seguintes ficheiros:

%unidade%\RECYCLER\%CLSID%\Desktop.ini
%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •




Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://browseusers.myspace.com/Browse/**********


– A partir da seguinte localização:
   • http://www.messengermsnimages.net/yah/**********

 Registry (Registo do Windows) Para cada chave de registo é adicionado um dos seguintes valores para executar os processos depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Update"="livemessenger.com"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Update"="livemessenger.com"



Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%ficheiro executado%"="%ficheiro
      executado%:*:Enabled:Microsoft Update"

 P2P Procura o seguintes directórios:
   • %PROGRAM FILES%\winmx\shared\
   • %PROGRAM FILES%\tesla\files\
   • %PROGRAM FILES%\limewire\shared\
   • %PROGRAM FILES%\morpheus\my shared folder\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\edonkey2000\incoming\
   • %PROGRAM FILES%\bearshare\shared\
   • %PROGRAM FILES%\grokster\my grokster\
   • %PROGRAM FILES%\icq\shared folder\
   • %PROGRAM FILES%\kazaa lite k++\my shared folder\
   • %PROGRAM FILES%\kazaa lite\my shared folder\
   • %PROGRAM FILES%\kazaa\my shared folder\

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • DivX 5.0 Pro KeyGen.exe; Counter-Strike KeyGen.exe; IP Nuker.exe;
      Website Hacker.exe; Keylogger.exe; AOL Password Cracker.exe; ICQ
      Hacker.exe; AOL Instant Messenger (AIM) Hacker.exe; MSN Password
      Cracker.exe; Microsoft Visual Studio KeyGen.exe; Microsoft Visual
      Basic KeyGen.exe; Microsoft Visual C++ KeyGen.exe; Sub7 2.3
      Private.exe; sdbot with NetBIOS Spread.exe; L0pht 4.0 Windows Password
      Cracker.exe; Windows Password Cracker.exe; NetBIOS Cracker.exe;
      NetBIOS Hacker.exe; DCOM Exploit.exe; Norton Anti-Virus 2005
      Enterprise Crack.exe; Hotmail Cracker.exe; Hotmail Hacker.exe; Brutus
      FTP Cracker.exe; FTP Cracker.exe; Password Cracker.exe; Half-Life 2
      Downloader.exe; UT 2003 KeyGen.exe; Windows 2003 Advanced Server
      KeyGen.exe


 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– AIM Messenger
– MSN Messenger
– Yahoo Messenger


Mensagem

   • Schauen Sie dieses Bild an %ficheiro executado%
     Look at this picture %ficheiro executado%
     mire este retrato %ficheiro executado%
     regarder cette image %ficheiro executado%
     guardare quest'immagine %ficheiro executado%
     Seen this? :D %ficheiro executado%

O URL aponta para uma cópia do malware descrito. Se o utilizador descarregar e executar este ficheiro terá início o processo de infecção do seu computador.

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: update.xx**********.com
Canal #!m!
Nickname: [USA|XP|%número% ]

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quinta-feira, 11 de março de 2010
Descrição atualizada por Petre Galan em segunda-feira, 15 de março de 2010

Voltar . . . .