Nom:Worm/Deborm.Q.1
La date de la découverte:08/08/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:56.320 Octets
Somme de contrôle MD5:82d72bbfbfbf98a60ebc2232e201b6d9
Version VDF:6.19.0.13

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: W32.HLLW.Nebiwo
   •  Mcafee: W32/Deborm.worm
   •  Kaspersky: W32/Deborm.Q
   •  TrendMicro: WORM_DEBORM.Q
   •  F-Secure: W32/Deborm.Q
   •  Sophos: W32/Deborm-Q
   •  Panda: W32/Deborm.Q
   •  Grisoft: TrojanDropper.Newbiwo
   •  VirusBuster: Worm.Win32.Deborm.Q1
   •  Bitdefender: Win32.Worm.Deborm.A


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

 Fichiers Les fichiers suivants sont créés:

%TEMPDIR%\~%chaîne de caractères aléatoire de deux digits%.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Deborm.Q.3

%TEMPDIR%\~%chaîne de caractères aléatoire de deux digits%.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Deborm.R.3

 Registre La clé suivante est en permanence ajoutée aux registres, dans une boucle infinie, afin de lancer le processus après le redémarrage.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NAV Live Update"="%le dossier d'exécution du malware%\%le fichier exécuté%"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • %WINDIR%\Profiles\All Users\Start Menu\Programs\Startup
   • c:\windows\Start Menu\Programs\Startup
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup
   • \WINNT\Profiles\All Users\Start Menu\Programs\Startup
   • \WINDOWS\Start Menu\Programs\Startup
   • \Documents and Settings\All Users\Start Menu\Programs\Startup


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– La liste suivante de noms d'utilisateurs:
   • Administrator
   • Guest
   • Owner



La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS05-039 (Vulnerability in Plug and Play)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.


Ralentissement de connexion:
– Nombre d'infections déclanchées: 100
– Selon la largeur de votre bande passante, il est possible d'avoir une baisse de votre vitesse de réseau. Car comme l'activité réseau de ce malware est élevé, il est aussi possible qu'il ne soit détecter si vous avez un connexion à haut débit.
– Dû aux multiples fils d'exécution créés en réseau, un ordinateur infecté devient une machine lente et inutilisable.


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Victor Tone le lundi 8 août 2005
Description mise à jour par Oliver Auerbach le vendredi 26 août 2005

Retour . . . .