WORM/Klone.B.131 - Worm

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	WORM/Klone.B.131
Data em que surgiu:	22/12/2005
Tipo:	Worm
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	De baixo a médio
Ficheiro estático:	Sim
Tamanho:	8.238 Bytes
MD5 checksum:	58fc31a3d9e462376d1d5a56abbd5a80
Versão VDF:	6.33.00.55

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Mcafee: Downloader-ZQ
   • Kaspersky: Packed.Win32.Klone.b
   • Bitdefender: GenPack:Trojan.Downloader.Galapoper.A

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows

Ficheiros Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://69.50.171.171/images/**********
Encontra-se no disco rígido: %SYSDIR%\paradise.raw.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Packed.Klone.b.1

– A partir da seguinte localização:
   • http://69.50.171.171/**********
Encontra-se no disco rígido: %SYSDIR%\svcp.csv

– A partir da seguinte localização:
   • http://69.50.171.171/**********
Encontra-se no disco rígido: %SYSDIR%\winsub.xml

Registry (Registo do Windows) É adicionada a seguinte chave de registo:

– [HKEY_CURRENT_USER]
• "WindowsSubVersion"=dword:%valores hex%

Backdoor Contacta o servidor:
Seguinte:
• http://69.50.171.171/**********

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP GET através de scripts PHP.

Informações diversas Mutex:
Cria o seguinte Mutex:
• gagagaradio

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Veja aqui uma breve descrição.

Descrição adicionada por Daniel Constantin em Tue, 27 Dec 2005 09:29 (GMT+1)
Descrição adicionada por Daniel Constantin em Wed, 01 Mar 2006 11:08 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back