VírusWorm/Koobface.eye
Data em que surgiu:09/02/2010
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:60.928 Bytes
MD5 checksum:a17a76e2f0f8343bbd4c49c9eaef83a3
Versão IVDF:7.10.03.241 - terça-feira, 9 de fevereiro de 2010

 Vulgarmente Alias:
   •  Sophos: Mal/Generic-A
   •  Panda: W32/Koobface.KM.worm
   •  Eset: Win32/Koobface.NCL
   •  Bitdefender: Worm.Generic.227218


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %unidade%\windows\freddy84.exe



Altera o conteúdo dos ficheiros seguintes.
%WINDIR%\bk23567.dat
%WINDIR%\freddy84.exe



Apaga a cópia executada inicialmente.



Elimina os seguintes ficheiros:
   • %directório de execução do malware%\sd.dat
   • %WINDIR%\dxxdv34567.bat
   • C:\3.reg



São criados os seguintes ficheiros:

– C:\3.reg É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

%unidade%\windows\bk23567.dat
%directório de execução do malware%\sd.dat
%WINDIR%\dxxdv34567.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.



Tenta efectuar o download do ficheiro:

– A partir das seguintes localizações:
   • http://www.deaf-world-gehoerlos-friend.de/**********/?action=&v=%número% &crc=%número%
   • http://promservice.sky.ru/**********/?action=&v=%número% &crc=%número%
   • http://allstateprocess.com/**********/?action=&v=%número% &crc=%número%




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %WINDIR%\freddy84.exe


– Executa um dos seguintes ficheiros:
   • cmd /c %WINDIR%\dxxdv34567.bat


– Executa um dos seguintes ficheiros:
   • regedit /s c:\3.reg


– Executa um dos seguintes ficheiros:
   • IEXPLORE.EXE

 Registry (Registo do Windows) É adicionada a seguinte chave de registo:

– [HKCR\Mime\Database\Content Type\application/xhtml+xml]
   • "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"
   • "Encoding"=hex:08,00,00,00
   • "Extension"=".xml"



O seguinte valor do registo é alterado:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Valor recente:
   • "Locked"=dword:0x00000000

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 18 de junho de 2010
Descrição atualizada por Petre Galan em sexta-feira, 18 de junho de 2010

Voltar . . . .