Kaspersky Threats

Data de detecção

04/13/2011

Classe

Plataforma

Descrição

Toda a carga útil do worm é executada através de um código que é injetado no espaço de endereço do processo "EXPLORER.EXE". A carga útil não será executada se qualquer uma das seguintes condições for atendida:

A ramificação a seguir está ausente no registro do sistema:
```
 [HKCUControl PanelPowerCfgPowerPolicies] 
```

O nome da conta do usuário atual é:

 USERNAME



do utilizador



NOME DO COMPUTADOR



Usuário atual

As seguintes bibliotecas são carregadas no espaço de endereço do worm:

 SbieDll.dll



dbghelp.dll



api_log.dll



dir_watch.dll



pstorec.dll

O arquivo original do worm foi salvo no sistema como:
```
c: file.exe 
```
Depois de injetar o código malicioso através do processo "EXPLORER.EXE", as seguintes ações são executadas:
Para garantir que o processo seja exclusivo no sistema, um identificador exclusivo é criado, que é denominado:
Para fornecer acesso ao sistema infectado, o seguinte pipe nomeado é criado:
```
 .piperrreokdirjiurururr 
```
Uma conexão é estabelecida para o servidor do usuário mal-intencionado:
```
di *** ind.cn



ant *** tition.com



fre *** unge.com
```
Seguindo um comando do usuário mal-intencionado, o worm pode executar as seguintes ações no computador infectado:
- Organize um ataque DoS em servidores especificados.
- Baixe arquivos de links enviados para ele. Os arquivos baixados são salvos no diretório de arquivos temporários do usuário atual "% Temp%" usando nomes aleatórios.
- Baixe a versão atualizada do worm do servidor do usuário mal-intencionado.
- Analise arquivos de configurações para estes navegadores:
```
Mozilla Firefox



Internet Explorer



Google Chrome



Ópera
```
  com a finalidade de roubar senhas salvas neles.
- Roube e modifique os cookies do navegador. Para fazer isso, o worm usa o módulo "sqlite" embutido no navegador Mozilla Firefox.
- As ações descritas nas seções "Instalação" e "Propagação". O worm faz trocas com o servidor do usuário mal-intencionado por meio de mensagens do tipo a seguir:
```
Scan parado



Verificação em execução



Digitalização iniciada



Dados de KB enviados: <number>



Pacotes SYN enviados: <number>



Corrida de inundação



inundação parada: <string>



inundação: <string>



Drive infectado: <string>



Propagador USB em execução



Cópia P2P para: <string>



Propagador MSN em execução



Difusão do MSN iniciada, link: <string> Link do MSN enviado
```
- Por comando do usuário malicioso, também é possível substituir o arquivo "hosts":
```
 % System% driversetchosts 
```
  No momento da escrita, o servidor do usuário mal-intencionado não estava respondendo.

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Data de detecção	04/13/2011
Classe	Net-Worm
Plataforma	Win32
Descrição	Toda a carga útil do worm é executada através de um código que é injetado no espaço de endereço do processo "EXPLORER.EXE". A carga útil não será executada se qualquer uma das seguintes condições for atendida: A ramificação a seguir está ausente no registro do sistema: [HKCUControl PanelPowerCfgPowerPolicies] O nome da conta do usuário atual é: USERNAME do utilizador NOME DO COMPUTADOR Usuário atual As seguintes bibliotecas são carregadas no espaço de endereço do worm: SbieDll.dll dbghelp.dll api_log.dll dir_watch.dll pstorec.dll O arquivo original do worm foi salvo no sistema como: c: file.exe Depois de injetar o código malicioso através do processo "EXPLORER.EXE", as seguintes ações são executadas: Para garantir que o processo seja exclusivo no sistema, um identificador exclusivo é criado, que é denominado: Para fornecer acesso ao sistema infectado, o seguinte pipe nomeado é criado: .piperrreokdirjiurururr Uma conexão é estabelecida para o servidor do usuário mal-intencionado: di * ind.cn ant * tition.com fre *** unge.com Seguindo um comando do usuário mal-intencionado, o worm pode executar as seguintes ações no computador infectado: Organize um ataque DoS em servidores especificados. Baixe arquivos de links enviados para ele. Os arquivos baixados são salvos no diretório de arquivos temporários do usuário atual "% Temp%" usando nomes aleatórios. Baixe a versão atualizada do worm do servidor do usuário mal-intencionado. Analise arquivos de configurações para estes navegadores: Mozilla Firefox Internet Explorer Google Chrome Ópera com a finalidade de roubar senhas salvas neles. Roube e modifique os cookies do navegador. Para fazer isso, o worm usa o módulo "sqlite" embutido no navegador Mozilla Firefox. As ações descritas nas seções "Instalação" e "Propagação". O worm faz trocas com o servidor do usuário mal-intencionado por meio de mensagens do tipo a seguir: Scan parado Verificação em execução Digitalização iniciada Dados de KB enviados: <number> Pacotes SYN enviados: <number> Corrida de inundação inundação parada: <string> inundação: <string> Drive infectado: <string> Propagador USB em execução Cópia P2P para: <string> Propagador MSN em execução Difusão do MSN iniciada, link: <string> Link do MSN enviado Por comando do usuário malicioso, também é possível substituir o arquivo "hosts": % System% driversetchosts No momento da escrita, o servidor do usuário mal-intencionado não estava respondendo.
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Net-Worm.Win32.Kolab