Worm/McMaggot.A - Worm

In alte limbi

Scurta descriere

Descriere completa

Statistici

Nume:	Worm/McMaggot.A
Descoperit pe data de:	04/12/2008
Tip:	Vierme
ITW:	Da
Numar infectii raportate:	Scazut spre mediu
Potential de raspandire:	Mediu
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	449.024 Bytes
MD5:	0Aa203943d1e264973b2993ca09ef4c3
Versiune IVDF:	7.01.00.184

General Metoda de raspandire:
   • Email

Alias:
   • Symantec: W32.Ackantta@mm
   • Mcafee: W32/Xirtem@MM virus !!!
   • Kaspersky: Trojan-Banker.Win32.Banker.abbi
   • Grisoft: Downloader.Agent.APQJ
   • Bitdefender: Win32.Worm.McMaggot.A

Initial identificat ca:
   • TR/Dropper.Gen

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Creeaza un fisier malware
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate
   • Modificari in registri

Fisiere Se copiaza in urmatoarea locatie:
• %SYSDIR%\vxworks.exe

Este creat fisierul:

– %SYSDIR%\qnx.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/McMaggot.A

Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • Wind River Systems"="c:\windows\\system32\\vxworks.exe

Urmatoarele chei din registri sunt modificate:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   Noua valoare:
   • c:\windows\\system32\\vxworks.exe"="c:\windows\\system32\\vxworks.exe:*:Enabled:Explorer

Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:

De la:
Adresa este falsificata.
Expeditorul email-ului este unul din urmatorii:
   • giveaway@mcdonalds.com
   • noreply@coca-cola.com
   • postcards@hallmark.com

Subiect:
Unul din urmatoarele:
   • Coca Cola is proud to accounce our new Christmas Promotion.
   • Mcdonalds wishes you Merry Christmas!
   • You've received A Hallmark E-Card!

Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • coupon.zip
   • postcard.zip
   • promotion.zip

Atasamentul este o arhiva ce contine chiar o copie malware.

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Pentru o descriere scurta click aici.

Descriere introdusa de Alexander Neth la Thu, 04 Dec 2008 07:27 (GMT+1)
Descriere actualizata de Alexander Neth la Thu, 04 Dec 2008 08:19 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back