Worm/Savage.B - Worm

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	Worm/Savage.B
Data em que surgiu:	07/09/2005
Tipo:	Worm
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Médio
Nível de risco:	De baixo a médio
Ficheiro estático:	Sim
Tamanho:	51.200 Bytes
MD5 checksum:	2c7482ca657f3ef1bd4d5c88abe204e5
Versão VDF:	6.31.1.200

Vulgarmente Meios de transmissão:
   • E-mail
   • Peer to Peer

Alias:
   • Mcafee: W32/Savage.gen@MM
   • Kaspersky: Email-Worm.Win32.Savage.b
   • TrendMicro: WORM_SAVAGE.A
   • F-Secure: W32/Savage.A@mm
   • VirusBuster: I-Worm.Savage.B
   • Bitdefender: Win32.Savage.B@mm

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Bloqueia o acesso a Web sites de segurança
   • Desactiva aplicações de segurança
   • Descarrega um ficheiro
   • Utiliza o seu próprio motor de E-mail
   • Baixa as definições de segurança
   • Altera o registo do Windows

Depois da execução executa um aplicação que exibe a janela seguinte:

Ficheiros Autocopia-se para a seguinte localização:
   • %sysdir%\lsasrv.exe

São criados os seguintes ficheiros:

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %temp%\Me^sa~e4%

– %sysdir%\version.ini
– %sysdir%\iexplor.dll Outras investigações apontam para que este ficheiro, também, seja malware.
– %sysdir%\shlapiw.dll Outras investigações apontam para que este ficheiro, também, seja malware.

Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • **********est.org.uk/imp/lost/wm/comms.txt
Encontra-se no disco rígido: %sysdir%\upd.ini

Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "lsass"="%directório de execução do malware%\%ficheiro executado%"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="explorer.exe %directório de execução do malware%\%ficheiro executado%"

Os valores da seguinte chave Registo são eliminados:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "windows auto update"="penis32.exe"
   • "Microsoft Inet Xp.."="teekids.exe"
   • "windows auto update"="msblast.exe"
   • "System MScvb"="%Windir%\mscvb32.exe"
   • "sysinfo.exe"="sysinfo.exe"
   • "PandaAVEngine"="%Windir%\PandaAVEngine.exe"
   • "TaskMon" = "taskmon.exe"

São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\iexplore.exe]
   • "Debugger"="%directório de execução do malware%\%ficheiro executado%""

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SSavage]

E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:

De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.

Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
– Endereços gerados

Assunto:
Um dos seguintes:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Attention!!!
   • Mail Delivery System
   • hello
   • Do not reply to this email
   • Good day

Corpo:
– Contém código HTML.

Â
O corpo do email é um dos seguintes:

   • You think it's funny? You are stupid idiot!!! I'll send the attachment to your ISP and then I'll be watching how you will go to jail, punk!!!

   • Attention! New self-spreading virus!


     Be careful, a new self-spreading virus called "RTSW.Smash" spreading very fast via e-mail and P2P networks. It's about two million people infected and it will be more.
     To avoid your infection by this virus and to stop it we provide you with full information how to protect yourself against it and also including free remover. Your can find it in the attachment.


     p 2004 Networks Associates Technology, Inc. All Rights Reserved

   • New terms and conditions for credit card holders


     Here a new terms and conditions for credit card holders using a credit cards for making purchase in the Internet in the attachment. Please, read it carefully. If you are not agree with new terms and conditions do not use your credit card in the World Wide Web.

     Thank you,
     The World Bank Group
     " 2004 The World Bank Group, All Rights Reserved

   • Thank you for registering at WORLDXXXPASS.COM


     All your payment info, login and password you can find in the attachment file.

     It's a real good choise to go to WORLDXXXPASS.COM

   • Attention! Your IP was logged by The Internet Fraud Complaint Center


     Your IP was logged by The Internet Fraud Complaint Center. There was a fraud attempt logged by The Internet Fraud Complaint Center from your IP. This is a serious crime, so all records was sent to the FBI.
     All information you can find in the attachment. Your IP was flagged and if there will be anover attemption you will be busted.


      This message is brought to you by the Federal Bureau of Investigation and the National White Collar Crime Center

   • You have visited illegal websites.
I have a big list of the websites you surfed.

   • Mail transaction failed. Partial message is available.

   • The message contains Unicode characters and has been sent as a binary attachment.

   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

   • Do not visit these sites!!!

   • Your credit card was charged for $500 USD. For additional information see the attachment

   • ESMTP [Secure Mail System 334]: Secure message is attached.

   • Encrypted message is available.

   • Delivered message is attached.

   • Can you confirm it?

   • Binary message is available.

   • am shocked about your document!

   • Are you a spammer? (I found your email on a spammer website!?!)

   • Bad Gateway: The message has been attached.

Atalho:
O ficheiro de atalho tem o seguinte nome:
   • tmp.zip

O ficheiro de atalho é uma cópia do malware.

Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • wab; adb; tbb; dbx; asp; edm; vbs; wml; jst; tpl; conf; vbp; csp; asm;
      asc; asa; dwt; lbi; rdf; rss; xst; xsd; dlt; xml; jsp; inc; ssi; stm;
      xht; htc; hta; cgi; php; sht; htm; html; txt

Endereços gerados para os campos PARA e DE:
Utiliza o seguinte texto para gerar endereços:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john

Combina isto com domínios encontrados numa lista ou endereços encontrados em ficheiros no sistema.

Tem um dos seguintes domínios:
   • trendmicro.com; nai.com; networkassociates.com; mcaffe.com;
      symantec.com; avp.com; compuserve.com; juno.com; earthlink.net;
      yahoo.co.uk; hotmail.com; yahoo.com; msn.com; aol.com

Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • accoun; certific; listserv; ntivi; support; admin; page; the.bat;
      gold-certs; feste; submit; not; help; service; privacy; somebody;
      soft; contact; rating; bugs; you; your; someone; anyone; nothing;
      nobody; noone; webmaster; postmaster; samples; info; root; be_loyal:;
      mozilla; utgers.ed; tanford.e; pgp; asketst; secur; isc.o; isi.e;
      ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido; linux;
      kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley;
      foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example; inpris;
      borlan; sopho; panda; icrosoft; syma; avp; abuse; www; spam; spm; .edu

Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção: Procura o seguintes directórios:
   • %progdir%\eDonkey2000\incoming
   • %progdir%\LimeWire\Shared

   Obtém a pasta partilhada examinando as seguintes chaves de registo:
   • [HKCU\Software\Kazaa\Transfer\DlDir0]
   • [HKCU\SOFTWARE\Morpheus\Install_Dir]
   • [HKCU\SOFTWARE\iMesh\Client\DownloadDir]

   Procura pelaa seguintea partilhaa standard:
   • Kazaa
   • Morpheus
   • iMesh

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • porno
   • NeroBROM6.3.1.25
   • avpprokey
   • Ad-awareref01R344
   • winxp_sp2patch
   • adultsitespasswds
   • dcom_patch
   • K-LiteCodecPack2.32a
   • activation_crack
   • icq2004-final
   • winamp5

   Os ficheiros são cópias do próprio malware.

Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– O acesso aos seguintes domínios é bloqueado:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      www.f-secure.com; f-secure.com; kaspersky.com; kaspersky-labs.com;
      www.avp.com; avp.com; www.kaspersky.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      www.my-etrust.com; my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; www.nai.com; nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      www.trendmicro.com; trendmicro.com; www.grisoft.com; grisoft.com;
      downloads1.kaspersky.com; downloads2.kaspersky.com;
      ftp.downloads1.kaspersky-labs.com; ftp.downloads2.kaspersky-labs.com;
      updates1.kaspersky-labs.com; updates3.kaspersky-labs.com;
      updates2.kaspersky-labs.com

O ficheiro hospedeiro (alterado) terá a seguinte aparência:

Terminar o processo A seguinte lista de processos são terminados:
   • i11r54n4; irun4; d3dupdate; rate; ssate; winsys; winupd; SysMon;
      bbeagle; Penis32; teekids; MSBLAST; mscvb32; sysinfo; PandaAVEngine;
      taskmon; wincfg32; outpost; zonealarm; navapw32; navw32; zapro;
      msblast; netstat

Lista de serviços desactivados:
   • wscsvc
   • SharedAccess
   • Norton Program Scheduler
   • KAVMonitorService
   • OutpostFirewall

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• UPX

Veja aqui uma breve descrição.

Descrição adicionada por Iulia Diaconescu em Thu, 08 Sep 2005 12:15 (GMT+1)
Descrição adicionada por Iulia Diaconescu em Mon, 19 Sep 2005 14:40 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back