Win32.PiBi.A@mm

Tip: Executable Mass-mailer & IRC/KaZaA-Worm Marime: 32256 bytes (65-70 KB necomprimat, ~30 KB arhivat ZIP) Risc: Redus Simptome: - cheia din registrii

Tip: Executable Mass-mailer & IRC/KaZaA-Worm Marime: 32256 bytes (65-70 KB necomprimat, ~30 KB arhivat ZIP) Risc: Redus Simptome: - cheia din registrii "HKCU\Software\Microsoft\Windows \Current\Version\Run\"Windows task32 sys" are ca rezultat rularea unei copii a virusului la pornirea sistemului; - fisierele "winsysNNN.exe" si "win32sysNNN.zip" in subdirectorul "System" a directorului Windows ("NNN este un numar ales la intamplare); - fisierul "C:\Msbootlog.sys"; - fisierul modificat "script.ini" in directorul mIRC; - unul dintre fisierele urmatoare (marime de aproximativ 32 KB) din directorul partajatKaZaA: mirc6.exe; winamp3.exe; wincrack.exe; icq2002.exe. Descriere tehnica: Win32.PiBi.A@mm se raspandeste prin trimiterea unor mesaje de e-mail al caror atasament executabil contine un vierme. De asemenea, virusul se poate raspandi prin transmiterea sa (in format .zip) catre alti utilizatori IRC si prin pacalirea utilizatorilor KaZaA sa descarce viermele de la utilizatorii infectati. Virusul este scris in Virusul C++ si este comprimat cu UPX. Virusul ajunge printr-un e-mail in una dintre formele urmatoare: Subject: Hello Body: You will find all you need in the attachment Attachment: setup.exe From: "Microsoft" Reply-To: "Microsoft" Subject: Internet Explorer vulnerability patch Body: You will find all you need in the attachment Attachment: setup.exe Atunci cand este executat virusul: - incearca sa termine executarea proceselor ce contin sirul de caractere "AV" in cadrul numelor unuia dintre module; - creeaza cheia din registrii HKLM\Software\RedCel\infected cu valoarea "yes"; - se copiaza in subdirectorul "System" al directorului Windows cu denumirea "winsysNNN.exe" (unde NNN este un numar ales la intamplare) si creeaza cheia din registrii "HKCU\Software\Micro soft\Windows\Current\Version\Run\ "Windows task32 sys" astfel incat copia viermelui sa fie rulata la pornirea Windows-ului; - se copiaza in directorul partajat KaZaA cu unul dintre numele mentionate mai sus; - creeaza o arhiva ZIP (denumita "win32sysNNN.zip") ce contine viermele in subdirectorul "System" al directorului Windows, daca WinZip este instalat, si schimba fisierul "script.ini" al mIRC cu scopul de a trimite virusul arhivat cu ZIP si altor utilizatori de pe server-ul de chat, daca mIRC este instalat; - copiaza continutul viermelui (in format Base64) in fisierul "C:\Msbootlog.sys", aceasta copie va folosi ulterior pentru a crea atasamente de e-mail; - trimite mesaje de e-mail (in formatul mentionat mai sus) catre adresele gasite in fisierele .HTM din directorul "Temporary Internet Files"; in cazul in care este posibil, informatiile legate de contul de e-mail si server-ul SMTP ale utilizatorului sunt citite din registri, in caz contrar virusul foloseste o adresa de e-mail hardcodata si server-ul SMTP (john@barryworld.com/smtp.barrysworld.com); la fiecare 50 de secunde se va incerca sa se trimita e-mail-uri; Dezinfectie manuala: stergeti cheia din registrii si fisierele mentionate in sectiunea simptome; pentru a realiza acest lucru este posibil sa fiti nevoiti sa reporniti Windows-ul in Safe Mode. Nota: Virusii din aceasta rubrica au fost analizati de Softwin si pot fi eliminati cu antivirusul BitDefender.