PCNEWS

Virus porno

Am primit de la BitDefender o atentionare despre raspandirea unui nou virus:
Win32.Worm.Lewor.S. Pe scurt acest virus seteaza pagina de start a browser-ului catre un site porno. Datorita potentialului foarte mare de raspandire pe care il are acest virus va punem la dispozitie primele analize asupra virusului.































Nume:


Win32.Worm.Lewor.S


Alias:



Tip:


Worm


Marime:


23038
bytes


Descoperit:


25.09.2005


Detectat:


25.09.2005


Raspandire:


Mica


Risc:


Mica


ITW:


Da



Simptome:
Prezenta
urmatoarelor fisiere:
– %windir%sonudmon.exe

%sysdir%dsek.exe

Schimbarea paginii de start din Internet Explorer cu un
site XXX.



Descriere
tehnica:

Acesta este
un troian scris in Delphi care modifica pagina de start in Internet Explorer si
incearca sa descarce si sa instaleze alte aplicatii malitioase.
La pornire,
modifica pagina de start, istoria URL si pagina automata de cautare in IE cu un
site XXX (www.mmmmmm.net). Se inregistreaza in registrii sistem sub cheia
HKCUSoftwareMicrosoftWindowsCurrentVersionRun. Se copiaza in directoarele
Windows si System32 sub numele listate la Simptome. Incearca sa descarce la
pornire un fisier numit „tmdown.exe” de pe un site XXX, dar fisierul nu mai este
acolo iar virusul iese cu o eroare (fisierul descarcat nu este executabil, dar
este rulat oricum).
Creaza mai multe timere care au diferite functii:

unul dintre ele tine sub control setarile IE, resetand pagina de start cu cea a
sa daca utilizatorul o modifica.
– Altul incearca sa descarce si sa
porneasca mai multe aplicatii malitioase.
– Exista si un timer care scaneaza
sa gaseasca diferite programe windows (sub numele QQKav, QQAV, TKillqqvir,
ThunderRT6FormDC, Upiea, joyiex, ddqxyz s.a.) si le trimite mesajul WM_QUIT
(astfel oprindu-le).

Virusul opreste shortcut-ul „Task Manager” care
apare cand se face click dreapta pe bara de instrumente, incercand astfel sa
previna propria sa oprire. Se asociaza cu actiunile implicite pentru fisierele
text (.txt extension) in registrii, astfel incat oricand un fisier text este
deschis, virusul sa fie rulat
Troianul se inregistreaza de asemenea si ca
proces serviciu.

Exit mobile version