Kaspersky Threats

Data de detecção

06/26/2009

Classe

Plataforma

Descrição

Para simular a legitimidade, o arquivo do worm contém informações fictícias sobre o arquivo:

O worm localiza um processo correspondente a uma janela com a classe "Progman" (é assim que o malware encontra o processo "explorer.exe") e injeta seu código nesse processo, e então deixa de ser executado.

O código malicioso injetado neste processo é instalado e executa a funcionalidade de backdoor. Para fazer isso, ele se conecta aos hosts remotos:




prcoli *** nica.com



krete *** epotice.ru



somb *** osting.net



84. *** 194



dz *** tarts.com

Seguindo um comando do usuário mal-intencionado, o worm pode executar as seguintes ações:

Faça o download dos arquivos para o computador infectado e inicie-os para execução. Os arquivos baixados são salvos na pasta temporária do usuário sob nomes aleatórios:
```
 % Temp% <rnd> .exe 
```
onde <rnd> é um número aleatório.

Ele pode salvar os arquivos baixados sob os nomes "Crack.exe" e "Keygen.exe" para diretórios de compartilhamento de arquivos de rede P2P localizados na máquina local. Também pode salvá-los no seguinte diretório:
```
% ALLUSERSPROFILE% Configurações locaisDados de aplicativoAres Minha pasta compartilhada 
```
Ele obtém os nomes dos diretórios de compartilhamento de arquivos de rede P2P, analisando os parâmetros dessas chaves de registro do sistema:
```
[HKCUSoftwareBearShareGeneral]



[HKCUSoftwareiMeshGeneral]



[HKCUSoftwareShareazaShareazaDownloads]



[HKCUSoftwareKazaaLocalContent]



[HKCUSoftwareDC ++]



[HKCUSoftwareMicrosoftWindowsCurrentVersionUninstalleMule Plus_is1]
```
Altere o conteúdo do arquivo "hosts":
```
% System% etchosts 
```
Isso significa que ele pode bloquear o acesso aos recursos da Internet visitados pelo usuário ou redirecionar o usuário para outros recursos.
Conduza um ataque DoS em um servidor especificado pelo usuário mal-intencionado.
Copie o corpo do worm para todas as unidades removíveis e de rede acessíveis por gravação. Ele também coloca o arquivo de acompanhamento mostrado abaixo na raiz de cada disco:
```
 <X>: autorun.inf 
```
onde <X> é a letra da unidade de rede ou disco removível. Ao mesmo tempo, atribui atributos "ocultos" e "sistema" às cópias do worm.

Esse arquivo inicia o arquivo executável a partir da cópia do worm sempre que o usuário acessa o disco infectado usando o Explorer.
Envie os nomes dos recursos da Internet e suas senhas para o endereço do usuário malicioso quando o usuário usar os seguintes navegadores:
```
Mozilla Firefox



Internet Explorer



Ópera
```

No momento em que este artigo foi escrito, o worm baixou a versão atualizada do URL a seguir e a lançou para execução:

 http: //188.***.27/jebacina/418.exe

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Data de detecção	06/26/2009
Classe	P2P-Worm
Plataforma	Win32
Descrição	Para simular a legitimidade, o arquivo do worm contém informações fictícias sobre o arquivo: O worm localiza um processo correspondente a uma janela com a classe "Progman" (é assim que o malware encontra o processo "explorer.exe") e injeta seu código nesse processo, e então deixa de ser executado. O código malicioso injetado neste processo é instalado e executa a funcionalidade de backdoor. Para fazer isso, ele se conecta aos hosts remotos: prcoli * nica.com krete * epotice.ru somb * osting.net 84. * 194 dz * tarts.com Seguindo um comando do usuário mal-intencionado, o worm pode executar as seguintes ações: Faça o download dos arquivos para o computador infectado e inicie-os para execução. Os arquivos baixados são salvos na pasta temporária do usuário sob nomes aleatórios: % Temp% <rnd> .exe onde <rnd> é um número aleatório. Ele pode salvar os arquivos baixados sob os nomes "Crack.exe" e "Keygen.exe" para diretórios de compartilhamento de arquivos de rede P2P localizados na máquina local. Também pode salvá-los no seguinte diretório: % ALLUSERSPROFILE% Configurações locaisDados de aplicativoAres Minha pasta compartilhada Ele obtém os nomes dos diretórios de compartilhamento de arquivos de rede P2P, analisando os parâmetros dessas chaves de registro do sistema: [HKCUSoftwareBearShareGeneral] [HKCUSoftwareiMeshGeneral] [HKCUSoftwareShareazaShareazaDownloads] [HKCUSoftwareKazaaLocalContent] [HKCUSoftwareDC ++] [HKCUSoftwareMicrosoftWindowsCurrentVersionUninstalleMule Plus_is1] Altere o conteúdo do arquivo "hosts": % System% etchosts Isso significa que ele pode bloquear o acesso aos recursos da Internet visitados pelo usuário ou redirecionar o usuário para outros recursos. Conduza um ataque DoS em um servidor especificado pelo usuário mal-intencionado. Copie o corpo do worm para todas as unidades removíveis e de rede acessíveis por gravação. Ele também coloca o arquivo de acompanhamento mostrado abaixo na raiz de cada disco: <X>: autorun.inf onde <X> é a letra da unidade de rede ou disco removível. Ao mesmo tempo, atribui atributos "ocultos" e "sistema" às cópias do worm. Esse arquivo inicia o arquivo executável a partir da cópia do worm sempre que o usuário acessa o disco infectado usando o Explorer. Envie os nomes dos recursos da Internet e suas senhas para o endereço do usuário malicioso quando o usuário usar os seguintes navegadores: Mozilla Firefox Internet Explorer Ópera No momento em que este artigo foi escrito, o worm baixou a versão atualizada do URL a seguir e a lançou para execução: http: //188.*.27/jebacina/418.exe
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

P2P-Worm.Win32.Palevo