VírusWorm/Koobface.NCL.7
Data em que surgiu:28/01/2010
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:62.976 Bytes
MD5 checksum:2348da8fdc70dd4423875c2e06c8fe85
Versão IVDF:7.10.03.113 - quinta-feira, 28 de janeiro de 2010

 Vulgarmente Alias:
   •  Mcafee: Generic.dx
   •  Sophos: Troj/Agent-MIA
   •  Panda: W32/Koobface.HZ.worm
   •  Eset: Win32/Koobface.NCL
   •  Bitdefender: Worm.Generic.221244


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %unidade%\windows\freddy81.exe



Altera o conteúdo dos ficheiros seguintes.
%WINDIR%\bk23567.dat
%WINDIR%\freddy81.exe



Apaga a cópia executada inicialmente.



Elimina os seguintes ficheiros:
   • %directório de execução do malware%\sd.dat
   • %WINDIR%\dxxdv34567.bat
   • %unidade%\3.reg



São criados os seguintes ficheiros:

%unidade%\3.reg É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

%unidade%\windows\bk23567.dat
%directório de execução do malware%\sd.dat
%WINDIR%\dxxdv34567.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.



Tenta efectuar o download do ficheiro:

– A partir das seguintes localizações:
   • http://almullahotels.com/**********/?action=&v=%número% &crc=%número%
   • http://www.tomsmassagepraxis.at/**********/?action=&v=%número% &crc=%número%
   • http://thyselius.tv/**********/?action=&v=%número% &crc=%número%
   • http://www.gecahe.com/**********/?action=&v=%número% &crc=%número%
   • http://advance.com.my/**********/?action=&v=%número% &crc=%número%
   • http://www.arketwood.com/**********/?action=&v=%número% &crc=%número%
   • http://feda-wien.at/**********/?action=&v=%número% &crc=%número%
   • http://e-autosystem.gr/**********/?action=&v=%número% &crc=%número%
   • http://www.chimera-crew.de/**********/?action=&v=%número% &crc=%número%
   • http://www.jallabyah.com/**********/?action=&v=%número% &crc=%número%
   • http://www.herangi.com/**********/?action=&v=%número% &crc=%número%




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %WINDIR%\freddy81.exe


– Executa um dos seguintes ficheiros:
   • cmd /c %WINDIR%\dxxdv34567.bat


– Executa um dos seguintes ficheiros:
   • regedit /s c:\3.reg

 Registry (Registo do Windows) É adicionada a seguinte chave de registo:

– [HKCR\Mime\Database\Content Type\application/xhtml+xml]
   • "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"
   • "Encoding"=hex:08,00,00,00
   • "Extension"=".xml"

 Informações diversas  Procura uma ligação de internet contactando o seguinte web site:
   • http://www.google.com

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quinta-feira, 24 de junho de 2010
Descrição atualizada por Petre Galan em quinta-feira, 24 de junho de 2010

Voltar . . . .