Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é o vírus worm se espalhando pela Internet, sendo anexado a e-mails infectados. O worm também tem rotina de backdoor.

O próprio worm é um arquivo EXE do Windows PE com cerca de 35Kb de comprimento (compactado por Petite, tamanho descompactado – cerca de 75Kb), escrito em Microsoft Visual C ++.

Os textos e nomes de arquivos anexados em mensagens infectadas são diferentes, eles dependem da data atual e do suporte ao idioma italiano:

Os assuntos são:

Incrível .. Incrível .. Urgente! (vedi allegato) Qualsai cosa fai, falla al meglio.

O corpo da mensagem começa com o texto "Olá" ou "Ciao", e os corpos são:
 veja este arquivo interessante.
 okkio all'allegato ;-)
 devi assolutamente vedere il arquivo che ti ho allegato.
 apri subito l'allegato, e 'MOLTO interessante.

O corpo da mensagem é preenchido com "A presto ..." ou "Bye". texto.

Arquivos anexados:

   tettona.exe
   euro.exe
   tattoo.exe

O worm é ativado a partir do e-mail infectado apenas no caso de um usuário clicar no arquivo anexado. O worm então se instala no sistema, executa a rotina de propagação e backdoor.

Instalando

Ao instalar o worm, copia-se para o diretório do Windows com o nome DLLMGR32.EXE e registra esse arquivo na chave de execução automática do registro do sistema:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun DllManager =% windir% dllmgr32.exe

O worm exibe a mensagem de erro falsa:

 Erro
  VBRUN49.DLL não encontrado!

Espalhando

Para enviar mensagens infectadas, o worm usa conexão direta com o servidor SMTP padrão, abre o banco de dados WAB (Catálogo de Endereços do Windows) e envia mensagens para todos os endereços encontrados nele.

Porta dos fundos

O procedimento de backdoor abre a conexão na porta 5001 e ouve o "mestre". Em seguida, processa as seguintes instruções:

 "HELO" - responde com o texto "Olá, cara"
 "SCAN" - verifica todos os diretórios e reporta dir / files lá (como o comando DIR remoto)
 "EXEC" - executa o arquivo especificado
 "UNINST" - remove-se do sistema, incluindo a chave de registro "Run".
 "VIEW" - exibe para o arquivo "mestre" especificado
 "DOWN" - downloads para o arquivo "master" especificado

Carga útil

Em 12 de janeiro, o worm exibe a mensagem:

 Olá,

  Tchau,
  o computador � infettato dal virus Fral�.
  Certo che devi essere proprio un pirlone,
  por esserti fatto fregare dal mio estupidissimo verme.
  Va b�, v�, non ti preoccupare, oggi non sono in ve di cattiverie,
   � anche un giorno festivo per me.

  Buona giornata ..
  por 4nt4R35

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Email-Worm
Plataforma	Win32
Descrição	Detalhes técnicos Este é o vírus worm se espalhando pela Internet, sendo anexado a e-mails infectados. O worm também tem rotina de backdoor. O próprio worm é um arquivo EXE do Windows PE com cerca de 35Kb de comprimento (compactado por Petite, tamanho descompactado – cerca de 75Kb), escrito em Microsoft Visual C ++. Os textos e nomes de arquivos anexados em mensagens infectadas são diferentes, eles dependem da data atual e do suporte ao idioma italiano: Os assuntos são: Incrível .. Incrível .. Urgente! (vedi allegato) Qualsai cosa fai, falla al meglio. O corpo da mensagem começa com o texto "Olá" ou "Ciao", e os corpos são: veja este arquivo interessante. okkio all'allegato ;-) devi assolutamente vedere il arquivo che ti ho allegato. apri subito l'allegato, e 'MOLTO interessante. O corpo da mensagem é preenchido com "A presto ..." ou "Bye". texto. Arquivos anexados: tettona.exe euro.exe tattoo.exe O worm é ativado a partir do e-mail infectado apenas no caso de um usuário clicar no arquivo anexado. O worm então se instala no sistema, executa a rotina de propagação e backdoor. Instalando Ao instalar o worm, copia-se para o diretório do Windows com o nome DLLMGR32.EXE e registra esse arquivo na chave de execução automática do registro do sistema: HKLMSoftwareMicrosoftWindowsCurrentVersionRun DllManager =% windir% dllmgr32.exe O worm exibe a mensagem de erro falsa: Erro VBRUN49.DLL não encontrado! Espalhando Para enviar mensagens infectadas, o worm usa conexão direta com o servidor SMTP padrão, abre o banco de dados WAB (Catálogo de Endereços do Windows) e envia mensagens para todos os endereços encontrados nele. Porta dos fundos O procedimento de backdoor abre a conexão na porta 5001 e ouve o "mestre". Em seguida, processa as seguintes instruções: "HELO" - responde com o texto "Olá, cara" "SCAN" - verifica todos os diretórios e reporta dir / files lá (como o comando DIR remoto) "EXEC" - executa o arquivo especificado "UNINST" - remove-se do sistema, incluindo a chave de registro "Run". "VIEW" - exibe para o arquivo "mestre" especificado "DOWN" - downloads para o arquivo "master" especificado Carga útil Em 12 de janeiro, o worm exibe a mensagem: Olá, Tchau, o computador � infettato dal virus Fral�. Certo che devi essere proprio un pirlone, por esserti fatto fregare dal mio estupidissimo verme. Va b�, v�, non ti preoccupare, oggi non sono in ve di cattiverie, � anche un giorno festivo per me. Buona giornata .. por 4nt4R35
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Email-Worm.Win32.Tettona

Detalhes técnicos

Instalando

Espalhando

Porta dos fundos

Carga útil