WORM / Yimbot.a







Tipo Malware: Worm
Alias: No Alias trovato
In natura: Sì
Distruttivo: No
Lingua: Inglese
Piattaforma: Windows 98, ME, NT, 2000, XP, Server 2003
Encrypted: No

Descrizione:
Questo worm può essere scaricato inconsapevolmente da un utente quando visita siti Web dannosi.
E gocce copie di se stesso. Cade file.
Essa crea le voci di registro per abilitare l'esecuzione automatica ad ogni avvio del sistema.
Esso crea chiave di registro (s) / voce (i). Esso modifica chiave di registro (s) / voce (i) come parte della sua routine di installazione.
Invia messaggi che contengono un link che punta a una copia di se stesso a distanza, utilizzando alcune applicazioni di messaggistica istantanea.
Si unisce canali IRC.
Crea mutex (es) per garantire che una sola istanza di se stesso è in esecuzione in memoria.

Ulteriori dettagli
Questo worm può essere scaricato inconsapevolmente da un utente quando si visita il sito web "maligno" (s).
Installazione
Questo worm copia i seguenti (i) di se stesso:
% Windows% \ jusched.exe
(Nota: % Windows% è la cartella di Windows, che di solito è C: \ Windows o C: \ WINNT).
Si lascia cadere il seguente file (s):
% Windows% \ mdll.dl
% Windows% \ wintybrd.png
% Windows% \ wintybrdf.jpg
Autostart Tecniche
Questo worm crea la seguente voce del Registro di sistema (IES), per consentire la sua esecuzione automatica ad ogni avvio di sistema:
HKEY_CURRENT_USER \ Software \ Microsoft \
Windows \ CurrentVersion \ Run
Sviluppatore Java Script Sfoglia = "% Windows% \ jusched.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \
Windows NT \ CurrentVersion \ \ Terminal Server
Install \ Software \ Microsoft \
Windows \ CurrentVersion \ Run
Sviluppatore Java Script Sfoglia = "% Windows% \ jusched.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \
Windows \ CurrentVersion \ Run
Sviluppatore Java Script Sfoglia = "% Windows% \ jusched.exe"
Altre modifiche del sistema
Questo worm crea la seguente chiave di Registro di sistema (s) / voce (e):
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \
Services \ SharedAccess \ Parameters \
FirewallPolicy \ AuthorizedApplications \ StandardProfile \
Elenco
(Percorso malware e il nome del file). Exe = "% Windows% \ jusched.exe: *: Enabled: sviluppatore Java Script Sfoglia"
Esso modifica la seguente chiave di Registro di sistema (s) / entrata (i) come parte della sua routine di installazione:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \
Services \ wuauserv
Start = "4"
(Nota: L'impostazione predefinita dati di valore per il detto voce di registro è 2).
Propagazione tramite la messaggistica istantanea (IM)
Questo worm invia messaggi che contengono un link che punta a una copia di se stesso a distanza, utilizzando il seguente instant messaging (s):
Yahoo Messenger
Funzionalità backdoor
Questo worm si unisce uno dei seguenti canali IRC (s):
#! Gf!

Altri dettagli
Questo worm crea il seguente mutex (es) per garantire che una sola istanza di se stesso è in esecuzione in memoria:
Micro UPE
Si collega al sito in seguito ad esecuzione iniziale:
http:// () BLOCCATO users.myspace.com / Sfoglia / Browse.aspx
Ferma i seguenti servizi:
MsMpSvc
wuauserv
Essa si aggiunge ad essere ammessi nella configurazione del programma firewall.
Si cerca inoltre di stabilire una connessione a http:// BLOCCATO ().) (BLOCCATO .36.96/index.php.

Fonte: http://threatinfo.trendmicro.com/vinfo/virusencyclo/

Nessun commento:

Posta un commento