Worm´s Download

 

WORMS DOWNLOAD

Para Fins Educacionais , Estudos e pesquisas
Programadores e Tecnicos em Segurança Digital

Worm NetSky.d

Meio de transmissão
• E-mail

Sistemas Operativos->
• Windows 95
• Windows 98
• Windows 98 SE
• Windows 2000
• Windows XP

Efeitos secundários->
Utiliza o seu próprio motor de E-mail
• Baixa as definições de segurança
• Altera o registo do Windows

Autocopia-se para a seguinte localização->
 %WINDIR%\winlogon.exe

É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado-> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run • "ICQ Net"=%WINDIR%\winlogon.exe -stealth"

Os valores das seguintes chaves registo do windows são eliminados-> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run • DELETE ME
• Explorer
• KasperskyAv
• msgsvr32
• Sentry
• service
• system.
• Taskmon
• Windows Services Host 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• au.exe
• d3dupdate.exe
• Explorer
• KasperskyAv
• OLE
• Taskmon
• Windows Services Host

As seguintes chaves de registo e todos os valores são eliminados->
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
InProcServer32

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF • HKLM\System\CurrentControlSet\Services\WksPatch

E-mail Tem um motor SMTP integrado para enviar emails.
É criada uma ligação directa com o servidor de destino. Tem as seguintes características->
De: O endereço do remetente é falsificado.
Para:  Endereços de email encontrados em determinados ficheiros no sistema.

Endereços evitados: Não envia emails para endereços com os seguintes blocos de texto:
• abuse; antivir; Kaspersky; avp; Mcafee; fbi; f-prot; f-security; Microsoft; Bitdefender; messagelabs; Norman; Norton; skynet; spam; Symantec.

Download



Worm Sobig.f

O Sobig Worm era um worm que milhões Computadores foram infectados ,Em agosto de 2003.  Embora houvesse indícios de que os testes do worm foram realizadas logo em agosto de 2002, foi pela primeira vez Sobig.A encontrados em estado selvagem em janeiro de 2003. Sobig.B foi lançada em maio de 2003. Em primeiro lugar, foi chamado Palyh, mas mais tarde foi renomeado para Sobig.B após anti-vírus especialistas descobriram que era uma nova geração de Sobig. Sobig.C foi libertado 31 de maio e fixa o calendário bug no Sobig.B. Sobig.D veio em algumas semanas mais tarde seguidas pela Sobig.E em 25 de junho. Sobig. Em 19 de agosto de Sobig.F tornou-se conhecido e fixou um recorde no volume total de
e-mails. "Sobig.F" variant. O worm foi mais difundida na sua "Sobig.F" variante. Sobig é um worm que replica, por si só, mas também um cavalo de Tróia, O Sobig será exibido como um worm de correio electronico com um dos seguintes temas:
* Re: Approved
* Re: Approved
* Re: Details
* Re: Detalhes
* Re: Mais Detalhes
* Re: My details
* Re: Re: Minha detalhes
* Re: Thank you!
* Re: Obrigado!
* Re: That movie
* Re: Que filme
* Re: Wicked screensaver
* Re: Wicked screensaver
* Re: Your application
* Re: A vossa candidatura
* Thank you! Obrigado!
* Your details Seus detalhes It will contain the text: "See the attached file for details" or "Please see the attached file for details."

Este deve conter o texto: "Veja o arquivo anexo para obter mais detalhes" ou "Por favor, veja o arquivo anexo para mais detalhes.
" It also contains an attachment by one of the following names: Contém ainda uma penhora por um dos seguintes nomes:
* application.pif
* details.pif
* document_9446.pif
* document_all.pif
* movie0045.pif
* thank_you.pif
* your_details.pif
* your_document.pif
* wicked_scr.scr [ edit ]
*Technical details [Editar] 

Quando este for iniciado irão replicar através do seu próprio SMTP agente motor.
Os endereços de correio electrónico que serão orientados pelo vírus são recolhidas a partir de ficheiros no computador anfitrião.

As extensões do arquivo que serão pesquisados por endereços de e-mail são:
* .dbx . dbx
* .eml . eml
* .hlp . hlp
* .htm . htm
* .html . html
* .mht . mht
* .wab . wab
* .txt . txt The Sobig.F variant
Se Conecta porta 8998 
O Sobig.F variante foi programado para entrar em contato com 20 endereços IP na porta UDP 8998 em 26 de agosto de 2003 para instalar ou atualizar algum programa em si.
Ainda não está claro o que este programa foi, mas as versões anteriores do vírus tinha instalado o WinGate servidor proxy software - um produto legítimo - em uma configuração que permite que seja usado como uma porta para spammers para distribuir o correio electrónico não solicitado. 
O Sobig worm foi escrito usando o Microsoft Visual C + + compilador, e posteriormente comprimido usando um programa de compressão de dados chamado tElock. 

Em 5 de novembro do mesmo ano, a Microsoft anunciou que irá pagar R $ 250.000 para a informação conducente à prisão do criador do worm Sobig.
Até o momento, o autor não foi capturado.

Download


Worm Klez.e

Meios de transmissão->
• E-mail
• Rede local Alias:

Sistemas Operativos->
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Efeitos secundários:
• Desativa aplicações de segurança
• Descarrega um ficheiro malicioso
• Utiliza o seu próprio motor de E-mail
• Baixa as definições de segurança
• Aproveita-se de vulnerabilidades do software
• Informação de roubos

Autocopia-se para as seguintes localizações
• %SYSDIR%\wink%três caracteres aleatórios%.exe
• %TEMPDIR%\%uma série de caracteres aleatórios%%número hexadecimal%.exe

Elimina os seguintes ficheiros:
• ANTI-VIR.DAT
• CHKLIST.DAT
• CHKLIST.MS
• CHKLIST.CPS
• CHKLIST.TAV
• IVB.NTZ
• SMARTCHK.MS
• SMARTCHK.CPS
• AVGQT.DAT
• AGUARD.DAT
• Shlwapi.dll
• Kernel32.dll
• netapi32.dll
• sfc.dll

Apaga ficheiros que contêm um dos textos seguintes:
• _AVP32
• _AVPCC
• NOD32
• NAV
• NAVWNT
• ANTIVIR 
• AVWIN95
• SCAN32
• VSHWIN32
• F-STOPW
• F-PROT95
• CLAW95 
• Norton
• Mcafee
• Antivir
• TASKMGR
• Norton
• Mcafee
• Antivir 
• F-Secure
• Sophos
• AVP Monitor
• AVP Updates
• Symantec
• Trend Micro
• F-PROT
• NOD32
*E muitos outros

São criados os seguintes ficheiros:
– Ficheiro temporário que poderá ser apagado mais tarde:
• %TEMPDIR%\%uma série de caracteres aleatórios%%número hexadecimal%.exe – %PROGRAM FILES%\%três caracteres aleatórios%%número hexadecimal%.exe

Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: W32/Elkern.C

É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado–> [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] • wink%três caracteres aleatórios% = %SYSDIR%\wink%três caracteres aleatórios%.exe

Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema: – [HKLM\SYSTEM\CurrentControlSet\Services\ Wink%três caracteres aleatórios%]
• Type = 110
• Start = 2
• ErrorControl = 0
• ImagePath = %SYSDIR%\wink%três caracteres aleatórios%.exe
• DisplayName = Wink%três caracteres aleatórios%
• "ObjectName"="LocalSystem" – [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Security] • Security = %hex values – [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enum] • 0 = Root\LEGACY_WINK%três caracteres aleatórios%\0000
• Count = 1
• NextInstance = 1

Tem um motor SMTP integrado para enviar emails.
É criada uma ligação direta com o servidor de destino.

Tem as seguintes características:
Exploit: alguns casos utiliza a seguinte vulnerabilidade->
– [EN]MS01-020 (Incorrect MIME Header Can Cause IE to Execute E-mail Attachment)

De: O endereço do remetente é falsificado.
Para: – Endereços de email encontrados em determinados ficheiros no sistema.

–Endereços de e-mail recolhidos do MSN Messenger.
–Endereço de e-mail recolhidos do ICQ Messenger.

Download