Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Kolab.fkt
Data em que surgiu:20/12/2009
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:147.456 Bytes
MD5 checksum:a630f11ba7b0f365374b05fd1c26d8fc
Versão IVDF:7.10.02.23 - domingo, 20 de dezembro de 2009

 Vulgarmente Meios de transmissão:
   • Autorun feature (pt)
   • Rede local
   • Messenger


Alias:
   •  Mcafee: W32/Kolab
   •  Sophos: Troj/Agent-MFV
   •  Panda: W32/Kolabc.AW.worm
   •  Eset: Win32/AutoRun.IRCBot.DI
   •  Bitdefender: Backdoor.Bot.111901


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\usbdrv.exe
   • %unidade%\RECYCLER\%CLSID%\usbdrv.exe



Elimina o seguinte ficheiro:
   • c:\x.bat



São criados os seguintes ficheiros:

%WINDIR%\nigzss.txt
%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

– c:\x.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro. Detectado como: Worm/IrcBot.50




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://www.whati**********/




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • cmd /c ""c:\x.bat" "


– Executa um dos seguintes ficheiros:
   • "%WINDIR%\usbdrv.exe"


– Executa um dos seguintes ficheiros:
   • net stop "Security Center"


– Executa um dos seguintes ficheiros:
   • net1 stop "Security Center"

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Universal Bus device"="usbdrv.exe"

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– AIM Messenger
– MSN Messenger
– Yahoo Messenger

O URL aponta para uma cópia do malware descrito. Se o utilizador descarregar e executar este ficheiro terá início o processo de infecção do seu computador.

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Exploit:
Faz uso dos seguintes Exploits:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS06-040 (Vulnerability in Server Service)


Criação de endereços IP:
Cria endereços IP aleatórios enquanto mantém o primeiro octeto do seu próprio endereço. Depois tenta estabelecer uma ligação com os endereços criados.

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: shell.vir**********.com
Porta: 9595
Canal #ms16
Nickname: {I-00-USA-XP-%nome do computador%}

Servidor: v1.virtual-rejectz.com

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quarta-feira, 31 de março de 2010
Descrição atualizada por Petre Galan em quarta-feira, 31 de março de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.