Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWORM/Jorik.A
Data em que surgiu:29/09/2010
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:De baixo a mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:58.880 Bytes
MD5 checksum:08e2f9f6bfaab01036d290b44b3122c7
Verso VDF:7.10.05.118
Verso IVDF:7.10.12.84 - quarta-feira, 29 de setembro de 2010

 Vulgarmente Meios de transmisso:
   • Rede local
    Messenger


Alias:
   •  Mcafee: W32/YahLover.worm
   •  Kaspersky: Trojan.Win32.Jorik.IRCbot.io
   •  TrendMicro: WORM_IRCBOT.ANA
   •  Sophos: Mal/PushBot-A
   •  Panda: W32/LoLbot.N.worm
   •  VirusBuster: Worm.Yimfoca!VfGiV1JD0h4
   •  Eset: Win32/Yimfoca.AA
AhnLab: Win-Trojan/Seint.58880.B
     DrWeb: BackDoor.IRC.Bot.673
     Fortinet: W32/Jorik_IRCbot.IO!tr
     Ikarus: Trojan.Win32.Jorik


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
    Abre o site no navegador da Web
   • Informao de roubos

 Ficheiros Autocopia-se para as seguintes localizaes
   • %TEMPDIR%\facebook-pic00005267.exe
   • %WINDIR%\nvsvc32.ext
   • %WINDIR%\nvsvc32.exe



Elimina o seguinte ficheiro:
   • %WINDIR%\nvsvc32.ext



So criados os seguintes ficheiros:

Ficheiros no maliciosos:
   • %WINDIR%\mdlu.dl
   • %WINDIR%\wintybrd.png
   • %WINDIR%\wintybrdf.jpg

 Registry (Registo do Windows) So adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"



Cria a seguinte entrada de forma a fazer um bypass firewall do Windows XP:

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%directrio de execuo do
      malware%
\sample.exe"="%WINDIR%\nvsvc32.exe:*:Enabled:NVIDIA driver
      monitor"



O seguinte valor do registo alterado:

[HKLM\SYSTEM\ControlSet001\Services\wuauserv]
   Valor recente:
   • "Start"=dword:00000004

 Messenger Propaga-se atravs do Messenger. Tem as seguintes caractersticas:

 AIM Messenger
 Skype
 Yahoo Messenger


Para:
Todas as entradas na lista de contactos.

 IRC Para enviar informao do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: server.**********com
Porta: 1234
Palavra-chave do servidor: xxx
Canal #!nn!
Nickname: NEW-[USA|00|P|%vrios dgitos aleatrios% ]
Palavra-chave test

Servidor: 213-229-**********550.net
Porta: 1234
Palavra-chave do servidor: xxx
Canal #!nn!
Nickname: NEW-[USA|00|P|%vrios dgitos aleatrios% ]
Palavra-chave test



 Este malware tem a capacidade de recolher e enviar a seguinte informao:
    • Informaes sobre a rede
    • Nome de utilizador


 Para alm disso tem a capacidade de executar as seguintes aces:
     Liga-se ao servidor de IRC
     Desliga-se do servidor de IRC
    • Download de ficheiros
    • Executa o ficheiro
    • Ligao ao canal IRC
    • Abandona canais IRC
     Inicia a rotina de propagao
    • Termina processos

 Roubos de informao  Usa um sniffer de rede para pesquisar os seguintes textos:
   • cpa; lead; google; bing; yahoo; live; mail; microsoft; window;
      aricles; vidr; rush; porn; sex; tube; adult; gllo; xnxx; xvideos;
      kyarticl; lmsarchiv; rticleslo; fuck; afemo; fullarti; i24searc;
      article; kanaa; enthou; iggarti; virus; myspace; postart; perbizsear;
      m-new; cpalead; freeart; astmo; cpa; lead; outu; daddie; porn; gay;
      adobe; geshac

 Informaes diversas Ligao internet:
Para conferir a sua ligao internet so contatados os seguintes servidores de DNS :
   • astro.ic.ac.uk
   • ale.pakibili.com
   • versatek.com
   • journalofaccountancy.com
   • transnationale.org
   • mas.0730ip.com
   • stayontime.info
   • www.shearman.com
   • ds.phoenix-cc.net
   • insidehighered.com
   • ate.lacoctelera.net
   • websitetrafficspy.com
   • qun.51.com
   • summer-uni-sw.eesp.ch
   • xxx.stopklatka.pl
   • unclefed.com
   • mcsp.lvengine.com
   • deirdremccloskey.org
   • journals.lww.com
   • middleastpost.org
   • mas.archivum.info
   • scribbidyscrubs.com
   • mas.mtime.com
   • ols.systemofadown.com
   • tripadvisor.com
   • mas.tguia.cl
Recursos de acesso Internet:
   • http://174.37.2**********x.php
   • http://www.myspace.com/browse/people
   • http://www.myspace.com/help/browserunsupported
   • 174.37.200.82 : 80
   • 216.178.38.224 : 80
   • 63.135.80.46 : 80
   • 64.208.241.41 : 80
   • 69.63.181.15 80

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Alexandru Dinu em quarta-feira, 16 de março de 2011
Descrição atualizada por Alexandru Dinu em quarta-feira, 16 de março de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.