Encyklopedický vstup
Aktualizováno: 15.února 2012 | Zveřejněno: Feb 15, 2012 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 15.února 2012 | Zveřejněno: Feb 15, 2012 Aliasy
-
Trojan horse Dropper.Generic5.AGAU (AVG)
- Win32.HLLW.Autoruner1.11800 (Dr.Web)
- Win32/Gyimface.A worm (ESET)
- Trojan.Win32.Pakes (Ikarus)
- Trojan-Dropper.Win32.Daws.miu (Kaspersky)
- Trojan:Win32/Comisproc (other)
- Worm:Win32/Pushbot.gen!C (other)
- Mal/ZboCheMan-A (Sophos)
- Skype worm (other)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.127.285.0 Vydáno: 19.května 2012 | Detekce původně vytvořeny: Definice: 1.119.1988.0 Vydáno: 15.února 2012 |
Shrnutí
Worm:Win32/Stekct.A je červ, který se šíří zasláním zprávy prostřednictvím sociálních médií a populární internetové chatovací programy, které obsahujehyperlink na červa.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost následujícího souboru:
mdm.exe - Přítomnost těchto úprav registru:V podklíč: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Nastaví hodnotu: "Microsoft Firevall Engine"
Vzhledem k objemu dat: "<copied <soubor_obsahující_index>"V podklíč: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Nastaví hodnotu: "Microsoft Firevall Engine"
S údaje: "%windir%\mdm.exe"V podklíči HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\Nastaví hodnotu: "Microsoft Firevall Engine"
S údaje: "%windir%\mdm.exe" V podklíči
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
Nastavuje hodnotu "<copied <soubor_obsahující_index>"
Vzhledem k objemu dat: "<copied <soubor_obsahující_index>:*:enabled:microsoft firevall engine"
Technické informace (analýza)
Worm:Win32/Stekct.A je červ, který se šíří zasláním zprávy prostřednictvím sociálních médií a populární internetové chatovací programy, které obsahujehyperlink na červa.
Instalace
V rámci své instalace, červ zkopíruje sám sebe jako "mdm.exe"Do jedné z následujících složek:
- %windir%
- %ProgramFiles%
- %PUBLIC% (Tj. C:\Users\Public)
Worm:Win32/Stekct.A uvádí následující změny v registru k zajištění jeho kopie provede u každého Windows start:
V podklíč: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Nastaví hodnotu: "Microsoft Firevall Engine"
Vzhledem k objemu dat: "<copied <soubor_obsahující_index>"
Nastaví hodnotu: "Microsoft Firevall Engine"
Vzhledem k objemu dat: "<copied <soubor_obsahující_index>"
V podklíč: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Nastaví hodnotu: "Microsoft Firevall Engine"
S údaje: "%windir%\mdm.exe"
Nastaví hodnotu: "Microsoft Firevall Engine"
S údaje: "%windir%\mdm.exe"
V podklíči HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\Nastaví hodnotu: "Microsoft Firevall Engine"
S údaje: "%windir%\mdm.exe"
S údaje: "%windir%\mdm.exe"
Se šíří ...
Sociální média a internetové chatovací programy
Worm:Win32/Stekct.A se šíří od odeslání zprávy obsahující odkaz na škodlivého souboru, podobně jako následující:
"HAHA LOL could this be you? hxxp://goo.gl/LFDt0?Facebook.com-IMG<šest náhodných čísel>.JPG"
Ve volné přírodě, jsme pozorovali tento odkaz vedoucí na soubor detekován jako VirTool:Win32/CeeInject.CV.
Červ odešle tuto zprávu do postiženého uživatele kontaktů z následujících instant messenger software a sociální sítě:
- AIM
- GIMP
- Google Talk
- ICQ
- Skype
- Windows Live Messenger
- Yahoo Messenger
Užitečná
Kontakty vzdáleným strojům
V přírodě jsme pozorovali červa styku vzdálené hostitele na 173.192.41.220 pro následující účely:
- Stáhnout a spustit libovolný soubor
- Poslat zprávu přes načtené po následující Instant Messenger software a sociální sítě:
- AIM
- GIMP
- Google Talk
- ICQ
- Skype
- Windows Live Messenger
- Yahoo Messenger
Červ se může obrátit na jiné vzdálené hostitele adresy ve snaze učinit úspěšné připojení.
Upraví nastavení systému
Worm:Win32/Stekct.A přidá se do seznamu důvěryhodných procesů, které jsou oprávněny k přístupu do sítě tím, že v registru následující úpravy:
V podklíči HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
Nastavuje hodnotu "<copied <soubor_obsahující_index>"
Vzhledem k objemu dat: "<copied <soubor_obsahující_index>:*:enabled:microsoft firevall engine"
Nastavuje hodnotu "<copied <soubor_obsahující_index>"
Vzhledem k objemu dat: "<copied <soubor_obsahující_index>:*:enabled:microsoft firevall engine"
Ukončí procesy
Worm:Win32/Stekct.A ukončí tyto procesy, a odstraní související soubory:
- egui.exe
- ekrn.exe
- msseces.exe
- svhost.exe
- YahooAUService.exe
Žádné komentáře:
Okomentovat