ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.Win32.Alman

Data de detecção 06/19/2007
Classe Virus
Plataforma Win32
Descrição

O vírus infecta todos os arquivos executáveis ​​do Windows acessíveis por gravação (PE-EXE) em todos os discos no computador da vítima e em pastas de rede acessíveis. O vírus não infecta arquivos com os seguintes nomes:

 wooolcfg.exe



woool.exe



ztconfig.exe



patchupdate.exe



trojankiller.exe



xy2player.exe



flyff.exe



xy2.exe



au_unins_web.exe



cabal.exe



cabalmain9x.exe



cabalmain.exe



meteor.exe



patcher.exe



mjonline.exe



config.exe



zuonline.exe



userpic.exe



main.exe



dk2.exe



autoupdate.exe



dbfsupdate.exe



asktao.exe



sealspeed.exe



xlqy2.exe



game.exe



wb-service.exe



nbt-dragonraja2006.exe



dragonraja.exe



mhclient-connect.exe



hs.exe



mts.exe



gc.exe



zfs.exe



neuz.exe



maplestory.exe



nsstarter.exe



nmcosrv.exe



ca.exe



nmservice.exe



kartrider.exe



audition.exe



zhengtu.exe 

O vírus grava seu arquivo executável no início do arquivo infectado, deslocando o conteúdo original do arquivo para baixo.

Para infectar arquivos localizados em pastas de rede, o vírus tenta se conectar a máquinas remotas usando a conta de Administrador e uma das seguintes senhas:

 zxcv



qazwsx



qaz



qwer



! @ # $% ^ & * ()



! @ # $% ^ & * (



! @ # $% ^ & *



! @ # $% ^ &



! @ # $% ^



! @ # $%



aasdf 



sdfgh



! @ # $



654321



123456



12345



1234



123



111 

O vírus também envia informações para o site do usuário remoto sobre a quantidade de espaço livre no disco C, o sistema operacional e as versões do Internet Explorer na máquina vítima e sobre a presença de drivers no sistema com um dos nomes listados. abaixo:

 Hooksys



KWatch3



KregEx



KLPF



NaiAvFilter1



NAVAP



AVGNTMGR



AvgTdi



nod32drv



PavProtect



TMFilter



BDFsDrv



VETFDDNT 

Essas informações são enviadas na seguinte solicitação para o site do usuário mal-intencionado remoto:

 http: //****mrw0rldwide.com/co.asp? action = post & HD = <quantidade de espaço livre> & OT = <versão do sistema operacional> & IV = <versão do Internet Explorer> & AV = <drivers instalados> 

O vírus também obtém uma lista de arquivos para download no seguinte link:

http: //****mrw0rldwide.com/z.dat

Em seguida, ele baixa arquivos da lista, salva-os no diretório temporário do Windows e os lança para execução.

No momento da escrita, o vírus baixou arquivos dos seguintes links:

 http: //down****net/css.jpg



http: //down****net/wow.jpg 

e salvou-os como mostrado abaixo:

% Temp% css.jpg – este arquivo tem 62 792 bytes de tamanho. Ele será detectado pelo Kaspersky Anti-Virus como Trojan-PSW.Win32.OnLineGames.afd;

% Temp% wow.jpg – este arquivo tem 40 241 bytes de tamanho. Ele será detectado pelo Kaspersky Anti-Virus como Trojan-PSW.Win32.WOW.sv.


Link para o original