Páginas

24 de outubro de 2007

W32/Checkout!91d0b88a

Ariscam avaliação:

- usuario de casa: Low-Profiled

- usuarios incorporados: Low-Profiled

Data descoberta: 08/11/2007

Data da adição: 08/11/2007

Origem: N/A

Extensão: 41, 984 bytes

Tipo: vírus

Subtítulo: internet Worm

DAT solicitado: 5096

CARACTERÍSTICAS DO VÍRUS

A avaliação de risco desta ameaça foi atualizada Baixo-perfilou devido a atenção de mídia a:

http://www.darkreading.com/document.asp?doc_id=131362

É uma variação de W32/Checkout mais o já detectado W32/Generic.Delphi.a em versões mais cedo do DAT.

Espalha-se via MSN Messenger se instalando envia a seguinte mensagem aos seus contatos da lista e envia um arquivo.zip com o nome:

* img1756.zip (~42 KB).

Contendo:

* olha @ meu filhote de cachorro novo atraente: - D :-D

* olham @ este quadro de mim, quando eu era uma criança

* Eu há pouco tirei esta foto com meu webcam, como isto?

* Confira, i raspou minha cabeça

* U viu meu cabelo novo?

* O que o fuck, você viu isto?

* Ei o homem, você tirou esta foto?

Em execução, cria uma cópia de si mesmo na pasta de arquivos de Windows e também derruba um arquivo de vigor:

* %WINDIR%\img1756.zip (W32/Checkout zipped)

* %WINDIR%\svchost.exe (W32/Checkout)

( Where %WINDIR% e na pasta de arquivos do Windows: e.g. C:\Windows)

Também derruba um a.bat file para os seguintes serviços.

O .bat file é apagado depois de execução.

* Security Center

* winvnc4

Acrescenta os valores seguintes ao registro:

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"

Pode se conectar ao canal IRC:

* {blocked}.basecase.info.

INDICADOR DE INFECÇÃO

* Presença das chaves de arquivos / registro mencionou

* conexão de rede Inesperada para o local associado.

* MSN contata recepção um das mensagens com anexo de vigor.

METODO DE INFECÇÃO

Esta lombriga se espalha enviando MSN mensagens a um contato. Uma mensagem que contém um arquivo de vigor malicioso (W32/Checkout).

ORDENS DE REMOÇÃO

EVITE recomenda para sempre usar último DATs e máquina. Esta ameaça será limpada se você tiver esta combinação.

Windows adicional ME / XP remoção de considerações.

FONTE: McAfee software antivírus e segurança para o seu PC.

TRADUÇÃO: Babylon dicionários versão 7.

Publicada por em
Etiquetas:

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)