Nom:Worm/Arduk.G
La date de la découverte:15/07/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:13.312 Octets
Somme de contrôle MD5:383a48fe9d8e8d8ba3240756d686c696
Version VDF:6.25.0.18

 Général Méthode de propagation:
   • Email


Les alias:
   •  Symantec: W32.Adurk@mm
   •  Mcafee: W32/Ardurk.gen@MM
   •  Kaspersky: Email-Worm.Win32.Ardurk.g
   •  TrendMicro: WORM_ADURK.A
   •  Sophos: W32/Ardurk-G
   •  VirusBuster: I-Worm.Ardurk.G


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\%le fichier exécuté%.exe



Il crée sa propre copie en employant un nom de fichier d'une liste:
employant un des noms suivants:
   • %chaque ficher *.htm % .exe




Une section est ajoutée à un fichier.
– A: %chaque ficher *.htm % .exe Avec le contenu suivant:
   • <OBJECT type="application/x-oleobject"CLASSID="%le CLSID généré%"></OBJECT><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">


 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Namesd"="%le fichier exécuté%.exe"



Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %le fichier exécuté%.exe]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "DisplayName"="%le fichier exécuté%.exe"
   • "ObjectName"="LocalSystem"
   • "ImagePath"="%SYSDIR%\%le fichier exécuté%.exe "

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %le fichier exécuté%.exe\Enum]
   • "0"="Root\\LEGACY_%le fichier exécuté%.EXE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %le fichier exécuté%.exe\Security]
   • Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00



Les clés de registre suivantes sont ajoutée:

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%le fichier exécuté%.EXE]
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%le fichier exécuté%.EXE\0000]
   • "Service"="%le fichier exécuté%.exe"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="%le fichier exécuté%.exe"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%le fichier exécuté%.EXE\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="%le fichier exécuté%.exe"

– HKCR\CLSID\{%le CLSID généré%}\LocalServer32]
   • @="%le dossier d'exécution du malware%\\%le fichier exécuté%.exe"

– [HKCR\CLSID\{%le CLSID généré%}]
   • @="%chaque ficher *.htm % .exe"

– [HKCR\CLSID\{%le CLSID généré%}\LocalServer32]
   • @="%le dossier d'exécution du malware%\\%chaque ficher *.htm % .exe"



Les clés de registre suivantes sont changées:

– [HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent]
   L'ancienne valeur:
   • @=dword:0000000a
   La nouvelle valeur:
   • @=dword:0000000d

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares]
   L'ancienne valeur:
   • "C"=hex(7):43,00,53,00,43,00,46,00,6c,00,61,00,67,00,73,00,3d,00,30,00,00,00,\
      4d,00,61,00,78,00,55,00,73,00,65,00,73,00,3d,00,34,00,32,00,39,00,34,00,39,\
      00,36,00,37,00,32,00,39,00,35,00,00,00,50,00,61,00,74,00,68,00,3d,00,43,00,\
      3a,00,5c,00,00,00,50,00,65,00,72,00,6d,00,69,00,73,00,73,00,69,00,6f,00,6e,\
      00,73,00,3d,00,30,00,00,00,52,00,65,00,6d,00,61,00,72,00,6b,00,3d,00,00,00,\
      54,00,79,00,70,00,65,00,3d,00,30,00,00,00,00,00
   La nouvelle valeur:
   • "C"=hex(7):43,00,53,00,43,00,46,00,6c,00,61,00,67,00,73,00,3d,00,30,00,00,00,\
      4d,00,61,00,78,00,55,00,73,00,65,00,73,00,3d,00,34,00,32,00,39,00,34,00,39,\
      00,36,00,37,00,32,00,39,00,35,00,00,00,50,00,61,00,74,00,68,00,3d,00,43,00,\
      3a,00,5c,00,00,00,50,00,65,00,72,00,6d,00,69,00,73,00,73,00,69,00,6f,00,6e,\
      00,73,00,3d,00,30,00,00,00,52,00,65,00,6d,00,61,00,72,00,6b,00,3d,00,00,00,\
      54,00,79,00,70,00,65,00,3d,00,30,00,00,00,00,00
     "d"=hex(7):43,00,53,00,43,00,46,00,6c,00,61,00,67,00,73,00,3d,00,30,00,00,00,\
      4d,00,61,00,78,00,55,00,73,00,65,00,73,00,3d,00,34,00,32,00,39,00,34,00,39,\
      00,36,00,37,00,32,00,39,00,35,00,00,00,50,00,61,00,74,00,68,00,3d,00,64,00,\
      3a,00,5c,00,00,00,50,00,65,00,72,00,6d,00,69,00,73,00,73,00,69,00,6f,00,6e,\
      00,73,00,3d,00,30,00,00,00,52,00,65,00,6d,00,61,00,72,00,6b,00,3d,00,64,00,\
      00,00,54,00,79,00,70,00,65,00,3d,00,30,00,00,00,00,00
     "e"=hex(7):43,00,53,00,43,00,46,00,6c,00,61,00,67,00,73,00,3d,00,30,00,00,00,\
      4d,00,61,00,78,00,55,00,73,00,65,00,73,00,3d,00,34,00,32,00,39,00,34,00,39,\
      00,36,00,37,00,32,00,39,00,35,00,00,00,50,00,61,00,74,00,68,00,3d,00,65,00,\
      3a,00,5c,00,00,00,50,00,65,00,72,00,6d,00,69,00,73,00,73,00,69,00,6f,00,6e,\
      00,73,00,3d,00,30,00,00,00,52,00,65,00,6d,00,61,00,72,00,6b,00,3d,00,65,00,\
      00,00,54,00,79,00,70,00,65,00,3d,00,30,00,00,00,00,00

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.


Sujet:
Le suivant:
   • CARTOON %chaîne de caractères aléatoire de trois digits%



Corps:
– Il contient du code HTML
– Le corps du message contient un lien vers un autre malware.

 
Le corps de l'email est le suivant:

   • CARTOON %chaîne de caractères aléatoire de trois digits%
     The
     1 Site for: Cartoons, Hentai & Anime HORNY LITTLE TOONS
     EXCLUSIVE HENTAI CONTENT
     EROTIC ANIME MOVIES
     NEVER SEEN BEFORE CARTOON SLUTS
     JAPANESE MANGA TOONS
     
     ENTER CARTOON %chaîne de caractères aléatoire de trois digits% HERE!!
     
     To unsubscribe click here "http://**********.net/remove/remove.php"
     


Pièce jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • CARTOON_

Continué par un des suivants:
   • %chaîne de caractères aléatoire de trois digits%

    L'extension du fichier est une des suivantes:
   • .exe



Voici quelques exemples de la manière dont le nom du fichier de la pièce jointe pourrait ressembler:
   • CARTOON_222.exe
   • CARTOON_021.exe



L'email ressemble à celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche le fichier suivant pour des adresses email:
   • HTM

 Informations divers Mutex:
Il crée le Mutex suivant:
   • _NextPart_%03d_%04X_%08.8lX.%08.8lX


Les partages réseau:
Les partages réseau suivants seront créé:
   • C:\
   • D:\


Description insérée par Catalin Jora le mercredi 3 août 2005
Description mise à jour par Catalin Jora le vendredi 19 août 2005

Retour . . . .