VírusWorm/Koobface.diz
Data em que surgiu:29/01/2010
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:60.928 Bytes
MD5 checksum:83395e3bd7c80db76a78b80cfda4443a
Versão IVDF:7.10.03.118 - sexta-feira, 29 de janeiro de 2010

 Vulgarmente Alias:
   •  Sophos: Mal/Generic-A
   •  Panda: W32/Koobface.KM.worm
   •  Eset: Win32/Koobface.NCL
   •  Bitdefender: Win32.Worm.Koobface.AQL


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %unidade%\windows\freddy82.exe



Altera o conteúdo dos ficheiros seguintes.
%WINDIR%\freddy82.exe
%WINDIR%\bk23567.dat



Apaga a cópia executada inicialmente.



Elimina os seguintes ficheiros:
   • %directório de execução do malware%\sd.dat
   • %WINDIR%\dxxdv34567.bat
   • %unidade%\3.reg



São criados os seguintes ficheiros:

%unidade%\3.reg É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

%unidade%\windows\bk23567.dat
%directório de execução do malware%\sd.dat
%WINDIR%\dxxdv34567.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.



Tenta efectuar o download do ficheiro:

– A partir das seguintes localizações:
   • http://reishus.de/**********/?action=&v=%número% &crc=%número%
   • http://reishus.de/**********/?action=&mode=&age=%número% &a=%número% &v=%número% &crc=%número% &ie=




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %WINDIR%\freddy82.exe


– Executa um dos seguintes ficheiros:
   • cmd /c %WINDIR%\dxxdv34567.bat


– Executa um dos seguintes ficheiros:
   • regedit /s c:\3.reg

 Registry (Registo do Windows) É adicionada a seguinte chave de registo:

– [HKCR\Mime\Database\Content Type\application/xhtml+xml]
   • "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"
   • "Encoding"=hex:08,00,00,00
   • "Extension"=".xml"



O seguinte valor do registo é alterado:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Valor recente:
   • "Locked"=dword:0x00000000

 Informações diversas  Procura uma ligação de internet contactando o seguinte web site:
   • http://www.google.com

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em segunda-feira, 21 de junho de 2010
Descrição atualizada por Petre Galan em segunda-feira, 21 de junho de 2010

Voltar . . . .