Worm/Randex.G - Worm

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	Worm/Randex.G
Data em que surgiu:	22/07/2005
Tipo:	Worm
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Médio
Nível de risco:	De médio a elevado
Ficheiro estático:	Sim
Tamanho:	73.728 Bytes
MD5 checksum:	45A3312349D9F2FB03A5B53DDD9C76CE
Versão VDF:	6.22.0.14

Vulgarmente Meio de transmissão:
   • Rede local

Alias:
   • Kaspersky: Worm.Win32.Randex.g
   • TrendMicro: WORM_RANDEX.F
   • F-Secure: W32/Sdbot.AU
   • Sophos: W32/Randex-G
   • Grisoft: Worm/Randex.G
   • VirusBuster: Worm.Win32.Randex.M
   • Bitdefender: Win32.Randex.G

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
• %SYSDIR%\netd32.exe

Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Microsoft Network Daemon for Win32"="netd32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• "Microsoft Network Daemon for Win32"="netd32.exe"

Infecção da rede Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • \C$\WINNT\system32\
   • \ADMIN$\system32\

Usa a seguinte informação de login para ganhar acesso à máquina remota:

– O seguinte nome de utilizador :
   • administrator

– A seguinte lista de palavras-chave:
   •
   • administrator
   • password

IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: security**********.not.an.attack.ladyofthe.net
Porta: 8087-8090
Canal #zb04
Nickname: %aleatório%

Servidor: security**********.not.an.attack.gamerzirc.net
Porta: 8087-8090
Canal #zb04
Nickname: %aleatório%

– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Velocidade do CPU
    • Utilizador Actual
    • Espaço disponível no disco
    • Memória disponível
    • Tempo de vida do malware
    • Informações sobre a rede
    • Capacidade da memória
    • Nome de utilizador

– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Lança DDoS SYN floods
    • Desliga-se do servidor de IRC
    • Download de ficheiros
    • Executa o ficheiro
    • Ligação ao canal IRC
    • Abandona canais IRC
    • Ataque de Negação de Serviços (ataque DoS)

Roubos de informação Tenta roubar a seguinte informação:

– As seguintes CD Keys:
   • Generals
   • Battlefield 1942 The Road to Rome
   • Battlefield 1942
   • UT2003
   • Half-Life

Detalhes do ficheiro Linguagem de programação:
Ficheiro escrito em MS Visual C++.

Veja aqui uma breve descrição.

Descrição adicionada por Andrei Gherman em Mon, 01 Aug 2005 23:00 (GMT+1)
Descrição adicionada por Andrei Gherman em Mon, 29 Aug 2005 10:37 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back