Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é um vírus Worm. Ele se espalha através da rede peer-to-peer Kazaa. Além disso, executa algumas funções de espionagem, reunindo dados sobre determinados jogos instalados no PC afetado. Este worm é um aplicativo do Windows (arquivo PE EXE). Está escrito em Visual C, e seu tamanho é 196 608 bytes.

Instalação

Durante a instalação, o worm produz a seguinte mensagem falsa sobre a extração do arquivo:

WinZip Self-Extractor, cabeçalho WinZip Self-Extractor corrompido. Possível causa: erro de transferência de disco ou arquivo inválido.

Posteriormente, grava-se no diretório do Windows com o seguinte nome:

mrowyekdc.exe

Esta instalação do worm é então registrada na chave de execução automática no registro do sistema:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  SVCHOST =% WindowsDir% mrowyekdc.exe

Espalhando

O worm cria uma pasta chamada "User Files" no diretório do Windows e grava a si mesma sob os seguintes nomes:

Starcraft + Broodwar 1.10 map hack.exe
Starcraft + Broodwar 1.10 no-cd hack.exe
Diablo 2 map hack.exe
Diablo 2 no-cd hack.exe
Jamella's Diablo 2 hero editor.exe
Warcraft 3 map hack.exe
Warcraft 3 stat hack.exe
Warcraft 3 no-cd hack.exe
Mapa do Warcraft 3 Frozen Throne hack.exe
Warcraft 3 Congelado Throne cd-cd hack.exe
O mapa do Trono Congelado hack.exe
Counterstrike hacks.exe
Counterstrike aim hack.exe

Esta pasta é então anotada no registro do sistema Windows como Conteúdo Local para a rede de troca de arquivos Kazaa:

 HKCUSoftwareKazaaLocalContent
  dir0 = 012345:% Windir% User Files
  DisableSharing = "0

Como resultado, os arquivos contidos nesta pasta ficam disponíveis para download para outros usuários de redes P2P.

Função de espionagem

O worm verifica o registro do sistema em busca de chaves relacionadas a jogos de computador populares (Counter Strike, Diablo, Warcraft, Starcraft) e envia dados coletados para o "dono" do worm usando uma conexão de servidor SMTP.

Diversos

O worm verifica a data e a hora do sistema. Se o mês da ativação do worm for anterior a agosto, ele deixará de executar suas funções e excluirá todas as suas entradas no registro do sistema.

Link para o original

Classe	P2P-Worm
Plataforma	Win32
Descrição	Detalhes técnicos Este é um vírus Worm. Ele se espalha através da rede peer-to-peer Kazaa. Além disso, executa algumas funções de espionagem, reunindo dados sobre determinados jogos instalados no PC afetado. Este worm é um aplicativo do Windows (arquivo PE EXE). Está escrito em Visual C, e seu tamanho é 196 608 bytes. *Instalação* Durante a instalação, o worm produz a seguinte mensagem falsa sobre a extração do arquivo: Posteriormente, grava-se no diretório do Windows com o seguinte nome: mrowyekdc.exe Esta instalação do worm é então registrada na chave de execução automática no registro do sistema: HKLMSoftwareMicrosoftWindowsCurrentVersionRun SVCHOST =% WindowsDir% mrowyekdc.exe *Espalhando* O worm cria uma pasta chamada "User Files" no diretório do Windows e grava a si mesma sob os seguintes nomes: Starcraft + Broodwar 1.10 map hack.exe Starcraft + Broodwar 1.10 no-cd hack.exe Diablo 2 map hack.exe Diablo 2 no-cd hack.exe Jamella's Diablo 2 hero editor.exe Warcraft 3 map hack.exe Warcraft 3 stat hack.exe Warcraft 3 no-cd hack.exe Mapa do Warcraft 3 Frozen Throne hack.exe Warcraft 3 Congelado Throne cd-cd hack.exe O mapa do Trono Congelado hack.exe Counterstrike hacks.exe Counterstrike aim hack.exe Esta pasta é então anotada no registro do sistema Windows como Conteúdo Local para a rede de troca de arquivos Kazaa: HKCUSoftwareKazaaLocalContent dir0 = 012345:% Windir% User Files DisableSharing = "0 Como resultado, os arquivos contidos nesta pasta ficam disponíveis para download para outros usuários de redes P2P. *Função de espionagem* O worm verifica o registro do sistema em busca de chaves relacionadas a jogos de computador populares (Counter Strike, Diablo, Warcraft, Starcraft) e envia dados coletados para o "dono" do worm usando uma conexão de servidor SMTP. *Diversos* O worm verifica a data e a hora do sistema. Se o mês da ativação do worm for anterior a agosto, ele deixará de executar suas funções e excluirá todas as suas entradas no registro do sistema.
	Link para o original

P2P-Worm.Win32.Gotorm

Detalhes técnicos