Worm W32.Yimfoca

Scoperto: 2 maggio 2010
Aggiornamento: 3 maggio 2010 01:15:15
Tipo: Worm
Lunghezza dell'infezione: Varia
I sistemi interessati: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
W32.Yimfoca è un worm che si diffonde attraverso l'invio di link tramite Yahoo Messenger e visualizza indagini quando vengono visitati popolari siti web

Valutazione della minaccia: Cattiva
Livello di circolazione: Basso
Numero di infezioni: 0-49
Numero di siti: 0-2
Distribuzione geografica: Bassa
Contenimento della minaccia: Facile
Rimozione: Facile

Danni
Livello del danno: Basso
Carico utile: può scaricare malware addizionale

Distribuzione
Livello di distribuzione: Basso
Porte: porta TCP 2345
Target di infezione: Gli utenti di Yahoo! Messenger.

Dettagli tecnici
Quando eseguito, il worm copia se stesso con il seguente file:
%Windir%\infocard.exe

Tenta quindi di copiare il file seguente al %Windir%, %UserProfile%\Public, or %ProgramFiles%, a seconda del successo copia per primo:
[FOLDER NAME]\nvsvc32.exe

Inoltre, crea i seguenti file:
%Windir%\mds.sys
%Windir%\mdt.sys
%Windir%\mdl.dl
%Windir%\winbrd.jpg
%Windir%\winbrd.png
%Windir%\winbrfy.jpg

Si crea quindi la seguente voce del Registro di sistema in modo da essere eseguito a ogni avvio di Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Firewall Administrating" = "%Windir%\infocard.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NVIDIA driver monitor: "[FOLDER NAME]\nvsvc32.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\NVIDIA driver monitor: "[FOLDER NAME]\nvsvc32.exe"

Il worm crea anche le seguenti voci del Registro al fine di bypassare il firewall di Windows:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"[FOLDER NAME]\nvsvc32.exe" = "[FOLDER NAME]\nvsvc32.exe:*:Enabled:NVIDIA driver monitor"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"[FOLDER NAME]\nvsvc32.exe" = "[FOLDER NAME]\nvsvc32.exe:*:Enabled:NVIDIA driver monitor"

Esso modifica inoltre la seguente voce del Registro di sistema, cambiando la home page di Internet Explorer:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "http://redirecturls.info"

Nota: Il worm reimposta la home page di questo URL ogni 30 minuti.

Successivamente, il worm tenta di connettersi al seguente URL:
[http://]browseusers.myspace.com/Browse/Brows[REMOVED]

Il worm si ferma quindi i seguenti processi per disattivare il modulo Microsoft Malware Protection Service e Windows Update:
MsMpSvc
wuauserv

Tenta quindi di collegarsi al seguente URL per scaricare un file di configurazione:
[http://]get.articleslinked.com/univ[REMOVED]

Il worm può anche scaricare altri file al computer infetto, che possono essere copie di altri malware.

Si connette al seguente indirizzi di rete sulla porta TCP 2345 e attende comandi IRC:
e2doo.org
sls.e2doo.net

Successivamente, il worm cerca di Windows sul computer infetto per coloro che appartengono a Yahoo! Messenger.

Il worm si diffonde inviando messaggi che contengono link a copie del worm a tutti i contatti Messenger.

I seguenti messaggi possono essere inviati dal worm:
foto :D [http://]tusfbfotos.com/imag[REMOVED]
foto :D [http://]kompnk.com/imag[REMOVED]
foto :D [http://]beautyphotoson.com/imag[REMOVED]

Il worm chiederà agli utenti di compilare indagini al fine di ottenere l'accesso a siti popolari come facebook.com, se non stanno usando Internet Explorer. L'utente non sarà in grado di accedere al proprio account fino a quando un sondaggio non sarà stato completato. I messaggi d'indagine sono i seguenti:
"Hai solo 3 minuti per compilare il questionario selezionato o sarai escluso da questo sito. Completare una di queste indagini per ottenere l'accesso a questa pagina. In caso contrario non si avrà accesso a questa pagina."

Scritto da: Ciubotariu Mircea

Fonte: http://www.symantec.com/security_response/