Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Kolab.fkt
Data em que surgiu:20/12/2009
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:De baixo a mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:147.456 Bytes
MD5 checksum:a630f11ba7b0f365374b05fd1c26d8fc
Verso IVDF:7.10.02.23 - domingo, 20 de dezembro de 2009

 Vulgarmente Meios de transmisso:
    Autorun feature (pt)
   • Rede local
    Messenger


Alias:
   •  Mcafee: W32/Kolab
   •  Sophos: Troj/Agent-MFV
   •  Panda: W32/Kolabc.AW.worm
   •  Eset: Win32/AutoRun.IRCBot.DI
   •  Bitdefender: Backdoor.Bot.111901


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizaes
   • %WINDIR%\usbdrv.exe
   • %unidade%\RECYCLER\%CLSID%\usbdrv.exe



Elimina o seguinte ficheiro:
   • c:\x.bat



So criados os seguintes ficheiros:

%WINDIR%\nigzss.txt
%unidade%\autorun.inf um ficheiro de texto no malicioso com o seguinte contedo:
   •

c:\x.bat Alm disso executa-se depois de gerado. Este ficheiro de processamento em lote usado para apagar um ficheiro. Detectado como: Worm/IrcBot.50




Tenta efectuar o download do ficheiro:

A partir da seguinte localizao:
   • http://www.whati**********/




Tenta executar o seguinte ficheiro:

Executa um dos seguintes ficheiros:
   • cmd /c ""c:\x.bat" "


Executa um dos seguintes ficheiros:
   • "%WINDIR%\usbdrv.exe"


Executa um dos seguintes ficheiros:
   • net stop "Security Center"


Executa um dos seguintes ficheiros:
   • net1 stop "Security Center"

 Registry (Registo do Windows) Um dos seguintes valores adicionado para executar o processo depois reinicializar:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Universal Bus device"="usbdrv.exe"

 Messenger Propaga-se atravs do Messenger. Tem as seguintes caractersticas:

 AIM Messenger
 MSN Messenger
 Yahoo Messenger

O URL aponta para uma cpia do malware descrito. Se o utilizador descarregar e executar este ficheiro ter incio o processo de infeco do seu computador.

 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.


Exploit:
Faz uso dos seguintes Exploits:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
 MS06-040 (Vulnerability in Server Service)


Criao de endereos IP:
Cria endereos IP aleatrios enquanto mantm o primeiro octeto do seu prprio endereo. Depois tenta estabelecer uma ligao com os endereos criados.

 IRC Para enviar informao do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: shell.vir**********.com
Porta: 9595
Canal #ms16
Nickname: {I-00-USA-XP-%nome do computador%}

Servidor: v1.virtual-rejectz.com

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em quarta-feira, 31 de março de 2010
Descrição atualizada por Petre Galan em quarta-feira, 31 de março de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.