Worm/Traxgy.B - Worm

In alte limbi

Scurta descriere

Descriere completa

Statistici

Nume:	Worm/Traxgy.B
Descoperit pe data de:	30/08/2005
Tip:	Vierme
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Mediu spre ridicat
Potential de distrugere:	Scazut spre mediu
Fisier static:	Nu
Marime:	57.344 Bytes
Versiune IVDF:	6.31.01.196

General Metode de raspandire:
   • Email
   • Reteaua locala
   • Discuri de retea mapate

Alias:
   • Kaspersky: Email-Worm.Win32.Rays
   • F-Secure: Email-Worm.Win32.Rays
   • Sophos: W32/Traxg-B
   • Panda: W32/Vinet.A.worm
   • Grisoft: I-Worm/Rays.E
   • Bitdefender: Win32.Rays.H@mm

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Creeaza un fisier malware
   • Reduce setarile de securitate
   • Modificari in registri

Fisiere Se copiaza in urmatoarele locatii:
   • A:\Explorer.EXE
   • A:\WINDOWS.EXE
   • %unitate disc%:\WINDOWS.EXE
   • %unitate disc%:\ghost.bat
   • %toate directoarele%\%numele directorului curent%.exe

Scrie pe disc o copie a lui alegand numele fisierului dintr-o lista:
– Catre: %WINDIR%\\system\ Folosind unul din urmatoarele nume:
   • %numar hexazecimal%.com

– Catre: %WINDIR%\fonts\ Folosind unul din urmatoarele nume:
   • %numar hexazecimal%.com

– Catre: %WINDIR%\\temp\ Folosind unul din urmatoarele nume:
   • %numar hexazecimal%.com

– Catre: %WINDIR%\help\ Folosind unul din urmatoarele nume:
   • \%numar hexazecimal%.com

Sunt create fisierele:

– Fisier inofensiv:
   • %toate directoarele%\desktop.ini

– A:\NetHood.htm Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: VBS/Zapchast.B

– %unitate disc%:\NetHood.htm Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: VBS/Zapchast.B

– %toate directoarele%\folder.htt Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: VBS/Zapchast.B

Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • TempCom = %WINDIR%\\system\%numar hexazecimal%.com
   • TempCom = %WINDIR%\fonts\%numar hexazecimal%.com
   • TempCom = %WINDIR%\\temp\%numar hexazecimal%.com
   • TempCom = %WINDIR%\help\%numar hexazecimal%.com

Valoarea urmatoarei chei este stearsa din registri:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • KaV300XP

Urmatoarele chei din registri sunt modificate:

Diverse setari in Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Vechea valoare:
   • fullpath = %setarile utilizatorului%
   Noua valoare:
   • fullpath = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Vechea valoare:
   • HideFileExt = %setarile utilizatorului%
   • Hidden = %setarile utilizatorului%
   Noua valoare:
   • HideFileExt = dword:00000001
   • Hidden = dword:00000000

Email Foloseste Messaging Application Programming Interface (MAPI) pentru a trimite email-uri. Iata caracteristicile lui:

De la:
De la: Adresa expeditorului este chiar contul Outlook al utilizatorului

Catre:
– Adrese de email obtinute din WAB (Windows Address Book)

Subiect:
Urmatorul:
   • %text in limba chineza%

Corpul email-ului:
Corpul email-ului este:
   • %text in limba chineza% Document.exe %text in limba chineza%

Atasament:
Numele fisierului atasat este urmatorul:
   • Document.exe

Atasamentul este o copie malware.

Email-ul arata astfel:

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Visual Basic.

Pentru o descriere scurta click aici.

Descriere introdusa de Andrei Gherman la Fri, 21 Sep 2007 10:34 (GMT+1)
Descriere actualizata de Andrei Gherman la Fri, 21 Sep 2007 11:02 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back