ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

P2P-Worm.Win32.Scranor

Classe P2P-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este worm se espalha através das redes de compartilhamento de arquivos Kazaa e iMesh, e também via IRC.

O worm em si é um arquivo EXE do Windows PE, com aproximadamente 12KB de tamanho.

Instalação

Uma vez iniciado, o worm cria uma pasta chamada "Sys32i" no diretório Program Files, e copia a si mesmo para este arquivo como "Scran.exe".

Este arquivo é registrado no registro do sistema como uma chave para ativar o autorun:

 [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
  W32.Scran =% ProgramDir% sys32iScran.exe 

Isso garante que o worm seja iniciado toda vez que o sistema for reinicializado.

O worm cria várias outras cópias de si mesmo sob os seguintes nomes:

 Age of Empires crack.exe 
Age of Empires.exe
CD Key.exe 
Counter Strike 6.exe
Counter Strike.exe
Grand Theft Auto 3 CD2 ISO.exe
Half-Life.exe
Hotmail conta cracker.exe
Hotmail Hack.exe
KeyGen.exe
Microsoft Office.exe
Norton Anti Virus 2004.exe
Norton Anti Virus 2005.exe
Norton Anti Virus Crack.exe
Norton Firewall.exe 
Norton Internet Security 2004.exe
Partition Magic 8.exe
Playstation 2.exe
Resident Evil.exe
Scran.cpl
Tomb Raider.exe
Trojan Remover.exe
Windows XP Home.exe
Yahoo Hack.exe
ZoneAlarm Firewall Pro.exe 

Esta pasta será mostrada no registro do sistema como Conteúdo Local para Kazaa e iMesh:

 [HKCUSoftwareKazaaLocalContent]
[HKCUSoftwareKazaaTransfer]
  "dir0" = "012345:% ProgramDir% sys32i"
[HKCUSoftwareiMeshClientLocalContent]
  "dir0" = "012345:% ProgramDir% sys32i" 

Esses arquivos serão acessíveis a outros usuários das redes P2P.

O worm cria um identificador "W32.Scran-Worm" para sinalizar sua presença no sistema.

Propagação via IRC

O worm procura na máquina vítima um cliente de IRC. Se ele detectar um, ele alterará o conteúdo do arquivo "script.ini" para que o worm seja passado a todos os usuários que digitam os canais de IRC usados ​​pela máquina infectada.

De outros

O worm baixará um arquivo chamado "botnet.jpg" de http://www.freewebs.com. Este arquivo será salvo no diretório raiz C: como "botnet.exe". Este arquivo contém a última versão do Backdoor.Win32.Rbot.gen.

No dia 1º de janeiro, o worm fará com que uma caixa de diálogo contendo o seguinte texto seja exibida na tela:

 Ha?
Feliz Ano Novo W32.Scran !! 

Link para o original