Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é um worm de rede que se espalha por redes locais e globais. Para se espalhar, o worm se conecta a computadores remotos e, se o disco for compartilhado para acesso total, o worm se copia para o diretório de inicialização do Windows (se existir).

O worm também possui capacidade de roubo de senhas. Ele obtém informações RAS (user mame, números de telefone, senhas), bem como senhas armazenadas em cache e as envia para dois endereços de e-mail, krenx@mail.ru e winam@mail.ru.

O próprio worm é um aplicativo Win32 (arquivo EXE PE) escrito em Delphi e compactado com o utilitário de compactação ASpach PE EXE. O corpo do worm contém o seguinte texto:

SharedWorm v1.2

Quando o worm é executado, ele se copia para o diretório do sistema Windows usando três nomes: MSTASK.EXE, MSGSRV16.EXE, TAPI32.EXE e registra esses arquivos nas seguintes chaves de execução automática do Registro:

HKCU SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM SOFTWAREMicrosoftWindowsCurrentVersionRunServices

Então, o worm é executado toda vez que o Windows é reiniciado.

O worm então se conecta à página da Web "http://krenx.newmail.ru/ip.txt" e lê seu conteúdo. Essa página contém uma lista de endereços IP de sub-rede. Existem três números no endereço em vez de quatro números de endereço IP, por exemplo:

194.135.175.
213.24.179.
195.209.191.
213,59.57.

O worm seleciona aleatoriamente uma dessas "máscaras" de sub-rede e tenta se conectar a cada máquina na sub-rede. Se a conexão for bem-sucedida, o worm tenta acessar os arquivos de disco do disco rígido do computador, depois localiza o nome do diretório do Windows nesse computador e copia a si mesmo para lá com o seguinte nome:

Inicie o MenuProgramsStartUpAVPMonitor.exe

Assim, a cópia do worm é colocada no diretório de início automático do Windows e é ativada na próxima reinicialização do Windows.

O worm também é capaz de se atualizar de um site da Internet. Obtém o ficheiro da Internet "http://krenx.newmail.ru/win.exe", copia-o para a máquina local e executa-o.

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Worm
Plataforma	Win32
Descrição	Detalhes técnicos Este é um worm de rede que se espalha por redes locais e globais. Para se espalhar, o worm se conecta a computadores remotos e, se o disco for compartilhado para acesso total, o worm se copia para o diretório de inicialização do Windows (se existir). O worm também possui capacidade de roubo de senhas. Ele obtém informações RAS (user mame, números de telefone, senhas), bem como senhas armazenadas em cache e as envia para dois endereços de e-mail, krenx@mail.ru e winam@mail.ru. O próprio worm é um aplicativo Win32 (arquivo EXE PE) escrito em Delphi e compactado com o utilitário de compactação ASpach PE EXE. O corpo do worm contém o seguinte texto: SharedWorm v1.2 Quando o worm é executado, ele se copia para o diretório do sistema Windows usando três nomes: MSTASK.EXE, MSGSRV16.EXE, TAPI32.EXE e registra esses arquivos nas seguintes chaves de execução automática do Registro: HKCU SOFTWAREMicrosoftWindowsCurrentVersionRun HKLM SOFTWAREMicrosoftWindowsCurrentVersionRun HKLM SOFTWAREMicrosoftWindowsCurrentVersionRunServices Então, o worm é executado toda vez que o Windows é reiniciado. O worm então se conecta à página da Web "http://krenx.newmail.ru/ip.txt" e lê seu conteúdo. Essa página contém uma lista de endereços IP de sub-rede. Existem três números no endereço em vez de quatro números de endereço IP, por exemplo: 194.135.175. 213.24.179. 195.209.191. 213,59.57. O worm seleciona aleatoriamente uma dessas "máscaras" de sub-rede e tenta se conectar a cada máquina na sub-rede. Se a conexão for bem-sucedida, o worm tenta acessar os arquivos de disco do disco rígido do computador, depois localiza o nome do diretório do Windows nesse computador e copia a si mesmo para lá com o seguinte nome: Inicie o MenuProgramsStartUpAVPMonitor.exe Assim, a cópia do worm é colocada no diretório de início automático do Windows e é ativada na próxima reinicialização do Windows. O worm também é capaz de se atualizar de um site da Internet. Obtém o ficheiro da Internet "http://krenx.newmail.ru/win.exe", copia-o para a máquina local e executa-o.
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Worm.Win32.Shorm

Detalhes técnicos