O Worm DreiStun não é um Malware que ganhou muito destaque internacional por atacar computadores do Brasil, mas conseguiu chamar a atenção da Microsoft quando o DreiStun derrubou o site de atualização da Microsoft num ataque DDoS. O Malware explorava um falha no MSN Plus.
Detalhes tecnicos: Este worm se espalha através da rede MSN + MSN Plus Instant Messenger (IM). O worm arquivo é escrito em Java Script e tem 248 kb e seu codigo é super protegido.
Informações do DreiStun[Oficial]
Extensões infectadas (26): exe, com, dll, ocx, bat, zip, rar, doc, pps, xls, js, vbs, scr, pif, sys, cmd, jpeg, png, bmp, avi, mpeg, mp4, mp3, aac, ogg, wma
Chaves No Registro: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run KEY = "%Windows%\wlmplus.exe
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunOnce
KEY = "%system%\wlmds.exe
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run KEY = "%Windows%"\svchost.exe
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunOnce KEY = "%system%"\svchost.exe
Bloqueia monitorações DNS
Tem controle total ao computador infectado
Deleta chaves importantes do registro(não revelado)
Faz que uma parte do arquivo DNSAPI.DLL bloqueie a monitoração de websites relacionados com ferramentas antimalware.
Escaneia e termina processos com nomes de ferramentas, patchs ou utilidades antimalware num intervalo de um segundo
O DreiStun oculta o seus arquivos EXE e DLL pra que não sejam achados e a cada arquivo infectado ele oculta
Não aparece no msconfig e nem no gerenciador de tarefas
Programas Do Windows bloqueados: Gerenciador De Tarefas, Executar, msconfig, regedit, gpedit.msc
Processos Eliminados: Todos Do AVG, Avast, Avira, McAfee, Norton, Kaspersky, NOD32, F-Secure e Zone Alarm
Processos infectados: explorer.exe, svchost.exe, services.exe, winlogon.exe, smss.exe, alg.exe, spoolsv.exe, dwm.exe(Vista), wininit.exe(Vista)
Desativados: Atualizações automaticas e restauração do sistema
Arquivos Importantes Do Windows Deletados: Bios(IO.sys ou IBMBIO.COM), MBR
Arquivo Importante Do Windows Modificados: CONFIG.sys, autoexec.bat, boot.ini, autorun.ini, bootfont.sys, MSDOS,sys, ntldr.sys, NTDETECT.com, pagefile.sys, hiberfil.sys
Funções: O DreiStun tem função de Worm, Backdoor e de Keylogger
Executado Na Inicialização Do S.O: Sim
Execução para infectar mais computadores: nos horarios das 02:00 as 04:00, 06:00 as 08:00, 10:00 as 12:00, 14:00 as 16:00, 18:00 as 20:00, 22:00 as 00:00.
Horarios Especiais: 03:00 e 15:00, no horario das 03:00 irá deletar 3 arquivos (extensões exe e dll) da pasta system32 todo dia e no horario das 15:00 ira aumentar 3 arquivos (extensões bat e ocx) 10mb cada arquivo.
Risco: alto
Velocidade de infecção dos arquivos: alta
Porta usada: 666
Sites bloqueados: Google e Yahoo
Como o Worm DreiStun entra no computador
O Worm irá apresentar no MSN assim:
AutoMessage: 3 hours of the tantrum it is that of the Satan. 3 hours of the afternoon it is that of Jesus. Which his favorite hour?
AutoMessage: The surprise. The answer....
"DreiStun"
Depois de autoexecutar o "DreiStun" o computador começará a ser infectado
O Criador
Raphael Telis dos Santos, um cracker brasileiro suspeito de criar mais de 20 Malwares. A Microsoft afirma que ele é um dos melhores crackers que já viram, pois o que ele conseguiu fazer em apenas 5 dias, outros não consegueriam fazer como ele fez.