VírusWORM/Jorik.A
Data em que surgiu:29/09/2010
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:58.880 Bytes
MD5 checksum:08e2f9f6bfaab01036d290b44b3122c7
Versão VDF:7.10.05.118
Versão IVDF:7.10.12.84 - quarta-feira, 29 de setembro de 2010

 Vulgarmente Meios de transmissão:
   • Rede local
   • Messenger


Alias:
   •  Mcafee: W32/YahLover.worm
   •  Kaspersky: Trojan.Win32.Jorik.IRCbot.io
   •  TrendMicro: WORM_IRCBOT.ANA
   •  Sophos: Mal/PushBot-A
   •  Panda: W32/LoLbot.N.worm
   •  VirusBuster: Worm.Yimfoca!VfGiV1JD0h4
   •  Eset: Win32/Yimfoca.AA
   •  AhnLab: Win-Trojan/Seint.58880.B
   •  DrWeb: BackDoor.IRC.Bot.673
   •  Fortinet: W32/Jorik_IRCbot.IO!tr
   •  Ikarus: Trojan.Win32.Jorik


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Abre o site no navegador da Web
   • Informação de roubos

 Ficheiros Autocopia-se para as seguintes localizações
   • %TEMPDIR%\facebook-pic00005267.exe
   • %WINDIR%\nvsvc32.ext
   • %WINDIR%\nvsvc32.exe



Elimina o seguinte ficheiro:
   • %WINDIR%\nvsvc32.ext



São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • %WINDIR%\mdlu.dl
   • %WINDIR%\wintybrd.png
   • %WINDIR%\wintybrdf.jpg

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"



Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%directório de execução do
      malware%\sample.exe"="%WINDIR%\nvsvc32.exe:*:Enabled:NVIDIA driver
      monitor"



O seguinte valor do registo é alterado:

– [HKLM\SYSTEM\ControlSet001\Services\wuauserv]
   Valor recente:
   • "Start"=dword:00000004

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– AIM Messenger
– Skype
– Yahoo Messenger


Para:
Todas as entradas na lista de contactos.

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: server.**********com
Porta: 1234
Palavra-chave do servidor: xxx
Canal #!nn!
Nickname: NEW-[USA|00|P|%vários dígitos aleatórios% ]
Palavra-chave test

Servidor: 213-229-**********550.net
Porta: 1234
Palavra-chave do servidor: xxx
Canal #!nn!
Nickname: NEW-[USA|00|P|%vários dígitos aleatórios% ]
Palavra-chave test



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Informações sobre a rede
    • Nome de utilizador


– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Desliga-se do servidor de IRC
    • Download de ficheiros
    • Executa o ficheiro
    • Ligação ao canal IRC
    • Abandona canais IRC
    • Inicia a rotina de propagação
    • Termina processos

 Roubos de informação – Usa um sniffer de rede para pesquisar os seguintes textos:
   • cpa; lead; google; bing; yahoo; live; mail; microsoft; window;
      aricles; vidr; rush; porn; sex; tube; adult; gllo; xnxx; xvideos;
      kyarticl; lmsarchiv; rticleslo; fuck; afemo; fullarti; i24searc;
      article; kanaa; enthou; iggarti; virus; myspace; postart; perbizsear;
      m-new; cpalead; freeart; astmo; cpa; lead; outu; daddie; porn; gay;
      adobe; geshac

 Informações diversas Ligação à internet:
Para conferir a sua ligação à internet são contatados os seguintes servidores de DNS :
   • astro.ic.ac.uk
   • ale.pakibili.com
   • versatek.com
   • journalofaccountancy.com
   • transnationale.org
   • mas.0730ip.com
   • stayontime.info
   • www.shearman.com
   • ds.phoenix-cc.net
   • insidehighered.com
   • ate.lacoctelera.net
   • websitetrafficspy.com
   • qun.51.com
   • summer-uni-sw.eesp.ch
   • xxx.stopklatka.pl
   • unclefed.com
   • mcsp.lvengine.com
   • deirdremccloskey.org
   • journals.lww.com
   • middleastpost.org
   • mas.archivum.info
   • scribbidyscrubs.com
   • mas.mtime.com
   • ols.systemofadown.com
   • tripadvisor.com
   • mas.tguia.cl
Recursos de acesso à Internet:
   • http://174.37.2**********x.php
   • http://www.myspace.com/browse/people
   • http://www.myspace.com/help/browserunsupported
   • 174.37.200.82 : 80
   • 216.178.38.224 : 80
   • 63.135.80.46 : 80
   • 64.208.241.41 : 80
   • 69.63.181.15 80

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Alexandru Dinu em quarta-feira, 16 de março de 2011
Descrição atualizada por Alexandru Dinu em quarta-feira, 16 de março de 2011

Voltar . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Todos os direitos reservados.

Minha Conta

https:// Esta janela é criptografada para sua segurança.