ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Worm.Win32.Fipp

Data de detecção 07/10/2012
Classe Worm
Plataforma Win32
Descrição

Enquanto infectando o sistema host:

  • Quando o malware é executado pela primeira vez, ele procura
     % system32% wmicuclt.exe e% system32% wscript.exe 

    . Quando encontrado, ele infectará os arquivos originais, adicionando parte de malware na última seção do arquivo (veja o método de infecção abaixo);

  • Cria o serviço "Remote Access Connection Service" em
    
    
    
    HKLMSystemControlSetServices (bem como outros ControlSets). 

    A string "ImagePath" apontará para o arquivo infectado em% system32% wmicuclt.exe;

  • Cria um novo valor em HKLMSystemSelect. O nome do valor pode ser "rtm" ou "v". O HKLMSystemSelect é usado pelo sistema operacional Windows para armazenar informações de inicialização. O carregador do sistema operacional lê a configuração de inicialização Atual / Padrão / com falha / LastKnownGood ao carregar o sistema operacional. O malware usa a chave de registro para armazenar a si mesmo ou dados específicos de vírus neste local;
  • Injeta o código em
     SVCHOST.EXE, LSASS.EXE 
  • Evita infectar as seguintes pastas:
     "Windows", "winnt", "s", "qq", "Outlook", "Informações de volume do sistema", 
    
    
    
    "Recycler", "InternetExplorer", "Messenger", 
    
    
    
    "Arquivos comuns" 
  • Procura parâmetros de acesso WOW64, SQSh, Srh, se instalados no sistema host;
  • Se uma sessão remota for detectada (no host infectado), ela tentará acessar a unidade remota executando o comando do cliente do Windows " tsclient $ c" e infectará os arquivos * .exe. Como resultado, o host de conexão também será infectado;
  • Infecta arquivos no host remoto
    
    
    
     "Admin $" system32wmicuclt.exe, 
    
    
    
     "Admin $" system32wscript.exe
    
    
    
    
  • Mapas de unidades remotas via remotehostipc $

URL remoto:

  • O worm pode se conectar a URLs contendo as substrings "ppift", "ppns" em um nome de site;

Quando infecta os arquivos, ele faz o seguinte:

  • Ele procura por pastas compartilhadas no computador infectado e infecta todos os arquivos * .exe encontrados;
  • Se o acesso a uma pasta compartilhada exigir credenciais de usuário, ele tentará forçar as contas e senhas do usuário. Estas são apenas algumas variantes:
     "Admin" / "678", "admin" / "1qaz2wsx", "usuário" / "1", "teste" / "1", 
    
    
    
    "teste" / "321" 

    e outras combinações de senhas simples para contas ou senhas, como

     "1234", "56", "qwert", "letmein", "segredo", "rockyou", "iloveyou", 
    
    
    
    "raiz", "super", "princesa", "alfa", "Patrick", "temp", 
    
    
    
    "P @ ssW0rd" 

    . e muitas outras palavras de zumbido;

  • Quando infecta um arquivo, ele se anexa ao final do arquivo host original, até a última seção do arquivo. Ele modifica o cabeçalho do arquivo, escrevendo a palavra-chave "PPIF" no deslocamento 0x28h do início do arquivo;
  • O novo arquivo é 47.872 bytes maior que o original.

Como desativa aplicativos antivírus

  • Quando executado no host infectado, ele procura por processos com as seguintes palavras no nome do processo:
     "F-Secure", "IKARUS-GuardX", "360SD", "360Tray", "WP", "ShStatEx", 
    
    
    
    "Sophos AutoUpdate Monitor", "AVP", "AVG_TRAY", "egui", 
    
    
    
    "G Data Antivirus", "BitDefender AntiVirus",
    
    
    
    "Trende Micro Client Framework", "kxesc", "avgnt", 
    
    
    
    "RAvTray", "DWIN"; 
  • Quando encontrado, ele procurará uma entrada do registro, a excluirá e reinicializará o sistema imediatamente. Após a reinicialização, o sistema não poderá iniciar o produto antivírus porque não há entrada de serviço.

Link para o original