Win32:Kapucen-B

Win32:Kapucen é uma spreading worm P2P , também conhecida por Win32/Puce ou W32.ECup.

Sumário
Tipo Worm
Aliases Win32/Puce, W32.ECup
Versão VPS 18 Julho, 2006
Plataforma Windows
Comprimento da infecção 106,496 bytes

Descrição

Win32:Kapucen-B copia-se a si próprio como %Temp dir%svchost.exe e cria a seguinte entrada de registo: 

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun WindowsServicesStartup = "%Temp dir%svchost.exe 1"
Esta entrada inicia a worm automaticamente cada vez que o Windows começa.

 

Depois o Win32:Kapucen-B procura arquivos nas drives C, D e E:

  • Program filesemuleincoming
  • Download
  • T chargement
  • Incoming
  • Archivos de programaemuleincoming
  • Program FilesKazaa Lite K++My Shared Folder
  • Program filesKMDMy Shared Folder
  • Program filesKaZaA LiteMy Shared Folder
  • Program filesMorpheusMy Shared Folder
  • Program filesBearShareShared
  • Program filesEdonkey2000Incoming
  • My Downloads
  • My Shared Folder
  • Program filesappleJuiceincoming
  • Program filesGnucleusDownloads
  • Program filesGroksterMy Grokster
  • Program filesICQshared files
  • Program filesKaZaAMy Shared Folder
  • Program filesLimeWireShared
  • Program filesOvernetincoming
  • Program filesShareazaDownloads
  • Program filesSwaptorDownload
  • Program filesWinMXMy Shared Folder
  • Program filesTeslaFiles
  • Program filesXoloXDownloads
  • Program filesRapigatorShare

e nas drives F, G pelo arquivo

  • Incoming

O Win32:Kapucen-B copia-se para qualquer ficheiro ZIP ou arquivo RAR como:

  • Setup.exe
  • Install.exe
  • _Run_Me_First.exe

Um arquivo infectado pode copiado para outra pasta e mudar o nome para:

  • "<archive name> updated-fixed [Month number]-[Day].zip"
  • "<archive name> updated-fixed [Month number]-[Day].rar"

Depois o Win32:Kapucen-B cria o log.txt na presente pasta e abre-a com o visualizador de texto seleccionado (normalmente o notepad). Este ficheiro contém o seguinte texto:

  

PRE-INSTALL v1.07 (C) pUcE Software 2006 Pre-install has checked your config. Everything is ok, you can now run the setup program Enjoy!

 

Detecção/Remoção

avast! com ficheiro VPS datado a partir de 18 de Julho 2006 é capaz de detectar esta worm.

Viruses
Viroses "in the Wild" Viroses do Windows Viroses do windows mais antigas 2002 Viroses do windows mais antigas 2001 Viroses do windows mais antigas 2000 Viroses de Script Macro-viroses Formulário de Relatório de Vírus Sumário do Relatório de Vírus Ficheiro de Teste Eicar História VPS
Subscription Services
VPS (iAVS) Subscr. service
Limpador de Vírus avast!
Home pageWeb site mapPrint this pagePrivacy policy
Copyright © 1988 - 2008 ALWIL Software a.s.
Viruses  windows viruses  Win32:Kapucen-B