Trojan W32 Rimecud







Tipo: Virus
SubType: Win32
Data scoperta: 10/07/2009
Lunghezza: Varia
Minimo DAT: 5.764 (10/07/2009)
Aggiornato DAT: 6.139 (2010/10/17)
Descrizione Modificata: 2010/10/12 13:44 (PT)
Valutazione dei rischi: basso

Panoramica.
W32/Rimecud è il worm che si diffonde attraverso MSN, la rete P2P e la condivisione di rete.

Il ooyi.exe file di esempio che abbiamo ricevuto dal campo di esecuzione, copia di se stesso come ooyi.exe nella seguente posizione:

•% rootdir% \ Application Data \ ooyi.exe

Si aggiunge la voce di registro seguente:

• HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft NT \ Windows \ CurrentVersion \ Winlogon
Taskman =% rootdir% \ Application Data \ ooyi.exe "

Il Registro di cui sopra conferma che "ooyi.exe" esegue ogni volta all'avvio di Windows.
Come già detto qui di seguito, è in grado di propagarsi attraverso le unità rimovibili.

Crea il seguente file:
Rootdir% *% \ RECYLCER \ [ID] \ Desktop.ini

E 'anche in grado di diffondersi tramite MSN, e noto le applicazioni P2P, come BearShare, iMesh, Shareaza, Kazaa, DC + +, eMule e LimeWire.
Ci può essere del traffico da computer infetti sulla porta UDP 1030 al seguenti domini:

prcolina. [RIMOSSO] onica.com
kreten. [RIMOSSO]-ljepotice.ru
sombrero. [RIMOSSO]. Netto
dzaba. [RIMOSSO]. Com
84,19. [RIMOSSO] 0,194

- Aggiornamento 11 maggio 2010 -

Il fix.exe file di esempio che abbiamo ricevuto dal campo di esecuzione, copia di se stesso come hdav.exe nella seguente posizione:

Rootdir%% \ RECYLCER \ [ID] \ hdav.exe (rilevato come W32/Rimecud)
Si aggiunge la voce di registro seguente:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft NT \ Windows \ CurrentVersion \ Winlogon
Taskman =% rootdir% \ RECYLCER \ [ID] \ hdav.exe "

Come già detto qui di seguito, è in grado di propagazione attraverso le unità rimovibili. Si crea un file autorun.inf che contiene i seguenti dati:

[Autorun]
aperto = FIREWALL \ fix.exe
icon =% SystemRoot% \ system32 \ shell32.dll, 2
action = Apri cartella per visualizzare i file
shell \ open = Open
shell \ open \ command = FIREWALL \ fix.exe
shell \ open \ default = 1

E 'anche in grado di diffondersi tramite MSN, e noto le applicazioni P2P, come BearShare, iMesh, Shareaza, Kazaa, DC + +, eMule e LimeWire.

Ci può essere del traffico da computer infetti sulla porta UDP 10.111 ai domini seguenti:

arta.romail [removed] est.info
parta.q8 [removed] ll.net
furious.devils [removed]. com

Fonte: http://www.mcafee.com/us/threat_center/

Nessun commento:

Posta un commento