English
Deutsch
Français
Español
Italiano
Home
Virus Info
Worm/Womble.D
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TechBlog
Worm/Womble.D - Worm
Ver também
Sumário
Descrição completa
Estatísticas
How would you rate this information?
Worthless
Excellent
Vírus
Worm/Womble.D
Data em que surgiu:
12/09/2006
Tipo:
Worm
Incluído na lista "In The Wild"
Sim
Nível de danos:
De baixo a médio
Nível de distribuição:
De médio a elevado
Nível de risco:
Médio
Ficheiro estático:
Sim
Tamanho:
83.456 Bytes
MD5 checksum:
a7eed18c21897e50bbe167b8f438b9af
Versão VDF:
6.35.01.212
Versão IVDF:
6.35.01.216
Vulgarmente
Meios de transmissão:
• E-mail
• Rede local
Alias:
• Symantec: W32.Womble.A@mm
• Mcafee: W32/Womble@MM
• Kaspersky: Email-Worm.Win32.Womble.d
• F-Secure: Email-Worm.Win32.Womble.d
Sistemas Operativos:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efeitos secundários:
• Descarrega ficheiros maliciosos
• Utiliza o seu próprio motor de E-mail
• Altera o registo do Windows
Ficheiros
Autocopia-se para a seguinte localização:
•
%SYSDIR%
\
%palavras aleatórias%
.exe
Cria as seguintes pastas:
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\dvd_info
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\free
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\h_core
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\l_this
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\lunch
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\my_staff
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\new_mp3
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\new_video
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\photo
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\sh_docs
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\take_it
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\video
•
%home%
\Local Settings\Application Data\Microsoft\WinTools\xxx
Envia cópias de si mesmo usando um nome das listas seguintes:
– Para:
%home%
\Local Settings\Application Data\Microsoft\WinTools\dvd_info Usando um dos nomes seguintes:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Para:
%home%
\Local Settings\Application Data\Microsoft\WinTools\free Usando um dos nomes seguintes:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Para:
%home%
\Local Settings\Application Data\Microsoft\WinTools\h_core Usando um dos nomes seguintes:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Para:
%home%
\Local Settings\Application Data\Microsoft\WinTools\l_this Usando um dos nomes seguintes:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Para:
%home%
\Local Settings\Application Data\Microsoft\WinTools\lunch Usando um dos nomes seguintes:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Para:
%home%
\Local Settings\Application Data\Microsoft\WinTools\my_staff Usando um dos nomes seguintes:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Para:
%home%
\Local Settings\Application Data\Microsoft\WinTools\new_mp3 Usando um dos nomes seguintes:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Para:
%home%
\Local Settings\Application Data\Microsoft\WinTools\new_video Usando um dos nomes seguintes:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Para:
%home%
\Local Settings\Application Data\Microsoft\WinTools\photo Usando um dos nomes seguintes:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Para:
%home%
\Local Settings\Application Data\Microsoft\WinTools\sh_docs Usando um dos nomes seguintes:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Para:
%home%
\Local Settings\Application Data\Microsoft\WinTools\take_it Usando um dos nomes seguintes:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Para:
%home%
\Local Settings\Application Data\Microsoft\WinTools\video Usando um dos nomes seguintes:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Para:
%home%
\Local Settings\Application Data\Microsoft\WinTools\xxx Usando um dos nomes seguintes:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
– Para: c:\system32\ Usando um dos nomes seguintes:
• winupdate.exe
• netupdate.exe
• winlog.exe
• winlogin.exe
– Para:
Usando um dos nomes seguintes:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
• .doc
• .jpg
• .txt
• .exe
• .pif
Tenta efectuar o download de alguns ficheiros:
– A partir da seguinte localização:
• support.365soft.info/current/**********
Este ficheiro pode conter localizações de descarregamento adicionais e poderá servir como fonte para novas ameaças .
– A partir da seguinte localização:
• support.365soft.info/current/**********
Este ficheiro pode conter localizações de descarregamento adicionais e poderá servir como fonte para novas ameaças .
– A partir da seguinte localização:
• support.365soft.info/current/**********
Este ficheiro pode conter localizações de descarregamento adicionais e poderá servir como fonte para novas ameaças .
Registry (Registo do Windows)
É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• windows_startup=
%SYSDIR%
\
%palavras aleatórias%
.exe
São adicionadas as seguintes chaves ao registo:
– [HKLM\SOFTWARE\WinUpdate]
• "Version"=dword:00000004
– [HKLM\SOFTWARE\WinUpload]
• "bot1.exe"=dword:00000002
• "bot2.exe"=dword:00000002
• "l.exe"=dword:00000002
• "t169.exe"=dword:00000002
– [HKCU\Software\Microsoft\WAB\WAB4]
• "FirstRun"=dword:00000001
– [HKCU\Software\Microsoft\Windows\CurrentVersion]
• "wmf.1.1"=dword:01c6db12
• "wmf.1.2"=dword:e8fc9740
Altera as seguintes chaves de registo do Windows:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Valor anterior:
• "Shell"="Explorer.exe"
• "Userinit"="
%SYSDIR%
\userinit.exe"
Valor recente:
• "Shell"="Explorer.exe
%espaços vazios%
%SYSDIR%
\
%palavras aleatórias%
.exe"
• "Userinit"="
%SYSDIR%
\userinit.exe
%espaços vazios%
,
%SYSDIR%
\
%palavras aleatórias%
.exe"
E-mail
Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:
De:
O endereço do remetente é a conta do utilizador do Outlook.
Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
Assunto:
Um dos seguintes:
• !!; Action Bush; FIFA; Helo; Hi; important; Incredible!!; info; Kiss;
Laura; Laura and John; Lola; Look at this!!!; Miss Khan; Nataly; Ola;
Olympus; Paula; pic; pics; private; private pics; Re:; Re: hi;
Re:info; RE: pic; read this; Robert; Sex
Corpo:
O corpo do email é o seguinte:
• Hi !!!
%uma série de caracteres aleatórios%
%uma série de caracteres aleatórios%
--
Best Regards
Atalho:
Os nomes dos ficheiros de atalhos são construídos a partir dos seguintes:
– Começa por um dos seguintes:
• bush
• Me
• My passwords
• MyWife
• Seduction secrets
• MySexMovie
• MySexPicture
• WallPaper
• anna
• Windows serial number
• GoogleHack
• OurNewCar
• OurNewHouse
Continuado por um dos seguintes:
• .jpg
• .doc
• .txt
Por vezes continuado por um dos seguintes:
• .pif
• .exe
• .zip
• .pif.zip
• .exe.zip
O ficheiro de atalho é uma cópia do malware.
O email pode ser parecido com um dos seguintes:
Infecção da rede
Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.
Exploit:
Faz uso dos seguintes Exploits:
–
MS04-011
(LSASS Vulnerability)
–
MS05-039
(Vulnerability in Plug and Play)
Backdoor
Contacta o servidor:
Seguintes:
• support.365soft.info/current/**********
• support.365soft.info/current/**********
• support.software602.com/current/**********
• support.software602.com/current/**********
• anyproxy.net/current/**********
• anyproxy.net/current/**********
• support.enviroweb.org/current/**********
• support.enviroweb.org/current/**********
• support.nikontech.com/current/**********
• support.nikontech.com/current/**********
• mymail.100hotmail.com/current/**********
• mymail.100hotmail.com/current/**********
• server1.mymail.ph/current/**********
• server1.mymail.ph/current/**********
• mymail.bokee.com/current/**********
• mymail.bokee.com/current/**********
• mail.96520.org/current/**********
• mail.96520.org/current/**********
• 211.184.55.7/current/**********
• 211.184.55.7/current/**********
• update.snowsoft.co.kr/current/**********
• update.snowsoft.co.kr/current/**********
• update.wwwmail.org/current/**********
• update.wwwmail.org/current/**********
• update.mediaroz.com/current/**********
• update.mediaroz.com/current/**********
• update.co.tv/current/**********
• update.co.tv/current/**********
• www.3btasarim.com/current/**********
• www.3btasarim.com/current/**********
• baishui.info/current/**********
• baishui.info/current/**********
• jiji.2tw.info/current/**********
• jiji.2tw.info/current/**********
Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP GET através de scripts PHP.
Envia informação sobre:
• Situação actual de malware
Roubos de informação
Tenta roubar a seguinte informação:
– Informações da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts
Informações diversas
Ligação à internet:
Para conferir a sua ligação à internet são contatados os seguintes servidores de DNS :
• *.GTLD-SERVERS.net
• *.lan.tjhsst.edu
Procura uma ligação de internet contactando o seguinte web site:
• www.sun.com/index.html
Mutex:
Cria o seguinte Mutex:
• wmf.mtx.4
Detalhes do ficheiro
Linguagem de programação:
Ficheiro escrito em MS Visual C++.
Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.
Veja
aqui
uma breve descrição.
Descrição adicionada por Adriana Popa em Fri, 15 Sep 2006 14:33 (GMT+1)
Descrição adicionada por Adriana Popa em Mon, 18 Sep 2006 16:11 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
HTML/Crypted.Gen
ADSPY/AdSpy.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/Dldr.Bredolab.AX
APPL/Tool.EvID4226
Get comfortable up to the minute info from Avira as
Detects and removes distinct malware and its variants.
Download here
Click
here
to get the panel...
© 2009 Avira GmbH
Copyright
|
Privacy
|
Sitemap
|
Feedback
|
Imprint
|
FAQ
|
Contact
Virus Info Worm/Womble.D
Print this page
.gif)
