Nimnul, Cosmu

 Plataforma:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    File infector

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Baixados da Internet


  Detalhes técnicos

Residente na memória: Sim
Carga útil: Compromises system security, Steals information

Instalao

Ele deixa os seguintes arquivos:

  • %Application Data%\{random}\{random}.exe
  • %Program Files%\Microsoft\WaterMark.exe
  • %Program Files%\{random}\{random}.exe
  • %User Startup%\{random}.exe
  • %User Temp%\{random}.exe
  • {folder where malware is located}\{malware name}mgr.exe

(Observação: %Application Data% é a pasta de dados de aplicativos do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Application Data, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Application Data, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Local Settings\Application Data, no Windows 2000, XP e Server 2003.. %Program Files% é a pasta padrão de arquivos de programas, geralmente, C:\Program Files.. %User Startup% é a pasta de inicialização do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Start Menu\Programs\Startup, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Start Menu\Programs\Startup, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Start Menu\Programs\Startup.. %User Temp% é a pasta temporária do usuário atual, que geralmente é C:\Documents and Settings\{nome do usuário}\Local Settings\Temp no Windows 2000, XP e Server 2003.)

Deixa os seguintes arquivos/componentes:

  • %Application Data%\{random}.log
  • %Program Files%\Internet Explorer\dmlconf.dat
  • %User Profile%\{random}.log
  • %User Temp%\{random}.sys
  • {drive letter}:\Copy of {number}.lnk
  • {drive letter}:\RECYCLER\{SID}\{random}.cpl
  • {drive letter}:\autorun.inf

(Observação: %Application Data% é a pasta de dados de aplicativos do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Application Data, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Application Data, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Local Settings\Application Data, no Windows 2000, XP e Server 2003.. %Program Files% é a pasta padrão de arquivos de programas, geralmente, C:\Program Files.. %User Profile% é a pasta do perfil do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}, no Windows NT; e C:\Documents and Settings\{nome do usuário}, no Windows 2000, XP e Server 2003.. %User Temp% é a pasta temporária do usuário atual, que geralmente é C:\Documents and Settings\{nome do usuário}\Local Settings\Temp no Windows 2000, XP e Server 2003.)

Ele cria as seguintes pastas:

  • %Application Data%\{random}
  • %Program Files%\{random}
  • {drive letter}:\RECYCLER

(Observação: %Application Data% é a pasta de dados de aplicativos do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Application Data, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Application Data, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Local Settings\Application Data, no Windows 2000, XP e Server 2003.. %Program Files% é a pasta padrão de arquivos de programas, geralmente, C:\Program Files.)

Tcnica de inicializao automtica

Ele se registra como um serviço de sistema para garantir sua execução automática a cada inicialização do sistema, adicionando as seguintes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Micorsoft Windows Service
Type = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Micorsoft Windows Service
Start = "4"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Micorsoft Windows Service
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Micorsoft Windows Service
DisplayName = "Micorsoft Windows Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Micorsoft Windows Service
DeleteFlag = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Micorsoft Windows Service
ImagePath = "%Application Data%\{random}\{random}.sys"

Ele adiciona as seguintes entradas de registro para habilitar sua execução automática a cada inicialização do sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%Application Data%\{random}\{random}.exe"

Outras modificaes no sistema

Ele adiciona as seguintes entradas de registro como parte de sua rotina de instalação:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Program Files%\Internet Explorer\IEXPLORE.EXE = "%Program Files%\Internet Explorer\IEXPLORE.EXE:*:Enabled:internet Explorer"

Ele modifica as seguintes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%Application Data%\{random}\{random}.exe"

(Note: The default value data of the said registry entry is %System%\userinit.exe,.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%Program Files%\{random}\{random}.exe"

(Note: The default value data of the said registry entry is %System%\userinit.exe,.)

Exclui estas chaves de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network

Entradas de blog relacionadas