VírusWorm/Merond.O
Data em que surgiu:22/02/2010
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:251.904 Bytes
MD5 checksum:30798de49cea5c4a60998f60447e8576
Versão IVDF:7.10.04.122 - segunda-feira, 22 de fevereiro de 2010

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Panda: W32/Sinowal.WUH
   •  Eset: Win32/Merond.O
   •  Bitdefender: Worm.Generic.83963


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\jushed.exe
   • %SYSDIR%\sdra64.exe



São criados os seguintes ficheiros:

%SYSDIR%\lowsec\user.ds
%SYSDIR%\lowsec\local.ds
%SYSDIR%\javaz.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dropper.Gen

%SYSDIR%\lowsec\user.ds.lll



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • "%SYSDIR%\javaz.exe"

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdateSched12"="%SYSDIR%\jushed.exe"



Os valores da seguinte chave Registo são eliminados:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • APVXDWIN
   • AVG8_TRAY
   • AVP
   • BDAgent
   • CAVRID
   • DrWebScheduler
   • F-PROT Antivirus Tray application
   • ISTray
   • K7SystemTray
   • K7TSStart
   • McENUI
   • MskAgentexe
   • OfficeScanNT Monitor
   • RavTask
   • SBAMTray
   • SCANINICIO
   • SpIDerMail
   • Spam Blocker for Outlook Express
   • SpamBlocker
   • Windows Defender
   • avast!
   • cctray
   • egui
   • sbamui



Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\jushed.exe"="%SYSDIR%\jushed.exe:*:Enabled:Explorer"



São adicionadas as seguintes chaves ao registo:

– [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main]
   • "Start Page"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   • "stinkinsun"="04"
   • "trashjava"="22"

– [HKEY_USERS\.DEFAULT\software\microsoft\windows\currentversion\
   explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}]
   • "{3039636B-5F3D-6C64-6675-696870667265}"=hex:F7,09,F2,0D
   • "{33373039-3132-3864-6B30-303233343434}"=hex:47,09,F2,0D



Altera as seguintes chaves de registo do Windows:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wma\OpenWithProgids]
   Valor recente:
   • "WMAFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .avi\OpenWithProgids]
   Valor recente:
   • "avifile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mpe\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .m1v\OpenWithProgids]
   Valor recente:
   • "mpegfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .aif\OpenWithProgids]
   Valor recente:
   • "AIFFFile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .rmi\OpenWithProgids]
   Valor recente:
   • "midfile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .zip\OpenWithProgids]
   Valor recente:
   • "CompressedFolder"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .wri\OpenWithProgids]
   Valor recente:
   • "wrifile"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .emf\OpenWithProgids]
   Valor recente:
   • "emffile"=""

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Valor recente:
   • "ParseAutoexec"="1"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.
O remetente do e-mail é um dos seguintes:
   • invitations@hi5.com
   • invitations@twitter.com


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.


Assunto:
Um dos seguintes:
   • Jessica would like to be your friend on hi5!
   • Your friend invited you to twitter!



Corpo:
– Contém código HTML.


Atalho:
O ficheiro de atalho tem o seguinte nome:
   • Invitation Card.zip

O ficheiro de atalho contém uma cópia do próprio malware.

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: javaz.exe

    Nome do processo:
   • winlogon.exe



–  Introduz o seguinte ficheiro num processo: winlogon.exe

    Nome do processo:
   • svchost.exe



–  Introduz o seguinte ficheiro num processo: svchost.exe

It is injected into all processes. (pt)


 Informações diversas  Procura uma ligação de internet contactando o seguinte web site:
   • http://whatismyip.com/automation/n09230945.asp

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quinta-feira, 22 de abril de 2010
Descrição atualizada por Petre Galan em quinta-feira, 22 de abril de 2010

Voltar . . . .