Имя:Worm/Tutiam.A
Обнаружен:24/07/2006
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:143.360 байт.
Контрольная сумма MD5:9f2b1ee9a59f56a91a0Ca7b25458e589
Версия VDF:6.35.00.180
Версия IVDF:6.35.00.220

 Общее Методы распространения:
   • Email
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Miti@mm
   •  Kaspersky: IRC-Worm.Win32.Tutiam.a
   •  TrendMicro: WORM_TUTIAM.A
   •  VirusBuster: Worm.Tutiam.A
   •  Bitdefender: Dropped:Win32.Worm.Tamiami.A


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файлы
   • Создает потенциально опасный файл
   • Изменение реестра


После запуска выдается следующая информация:


 Файлы Создаются собственные копии:
   • %WINDIR%\strangler.exe
   • %WINDIR%\Tamiami.wrd
   • %WINDIR%\tamweb\Pictures.exe



Создаются следующие директории:
   • %WINDIR%\tammail
   • %WINDIR%\tamweb



Разделы добавляются в файл.
– Кому: %Диск%:\*.zip Со следующим содержимым:
   • SourceCode.exe
     Addons_ENG.exe
     Pictures.exe
     Licence.exe
     ReadMe.exe
     Install.exe
     Quellcode.exe
     Addons.exe
     Bilder.exe
     Lizenz.exe
     LiesMich.exe
     Installation.exe
     (%выполненный файл%)




Создаются следующие файлы:

%WINDIR%\tamver.sys
%WINDIR%\Tamiami.vbs
%WINDIR%\tamweb\index.htm Определен как: Worm/Tamiami.A

%WINDIR%\Tamiami.mrc

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Tamiami"="%WINDIR%\strangler.exe"



Добавляется следующий ключ реестра:

– [HKCU\Identities\%зависит от системы%\
   Software\Microsoft\Outlook Express\5.0\Mail]
   • "Warn on Mapi Send"=dword:00000000



Изменяются следующие ключи реестра:

Отключение Windows Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Новое значение:
   • "Start"=dword:00000004

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: irc.quake**********
Порт: 6667
Пароль сервера: %случайная комбинация букв из восьми букв%
Канал: #tamiami
Имя: %случайная комбинация букв из восьми букв%
Пароль: strangler

Сервер: quakenet.under**********
Порт: 6667
Пароль сервера: %случайная комбинация букв из восьми букв%
Канал: #tamiami
Имя: %случайная комбинация букв из восьми букв%
Пароль: strangler

Сервер: irc.efn**********
Порт: 6667
Пароль сервера: %случайная комбинация букв из восьми букв%
Канал: #tamiami
Имя: %случайная комбинация букв из восьми букв%
Пароль: strangler

Сервер: icr.under**********
Порт: 6667
Пароль сервера: %случайная комбинация букв из восьми букв%
Канал: #tamiami
Имя: %случайная комбинация букв из восьми букв%
Пароль: strangler

Сервер: eu.under**********
Порт: 6667
Пароль сервера: %случайная комбинация букв из восьми букв%
Канал: #tamiami
Имя: %случайная комбинация букв из восьми букв%
Пароль: strangler

Сервер: us.under**********
Порт: 6667
Пароль сервера: %случайная комбинация букв из восьми букв%
Канал: #tamiami
Имя: %случайная комбинация букв из восьми букв%
Пароль: strangler

Сервер: port80c.se.quake**********
Порт: 6667
Пароль сервера: %случайная комбинация букв из восьми букв%
Канал: #tamiami
Имя: %случайная комбинация букв из восьми букв%
Пароль: strangler


– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • разорвать соединение с IRC сервером
    • Войти в чат-комнату IRC
    • Запуск процедуры распространения

 Разное  Связывается со следующим веб-сайтом для проверки установленного Интернет-соединения:
   • http://update.microsoft.com


Мьютекс:
Создается мьютекс:
   • Worm.Tamiami v1.3.2 by DiA/RRLF

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.

Описание добавил Monica Ghitun в(о) понедельник, 24 июля 2006 г.
Описание обновил Andrei Ivanes в(о) понедельник, 27 ноября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.