Nom:Worm/Harwig.C
La date de la découverte:30/08/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:101,446 Octets
Somme de contrôle MD5:070bf77be2f7361d4d52a5a646ae420d
Version VDF:6.30.0.222

 Général Méthode de propagation:
   • Programme de messagerie


Les alias:
   •  Symantec: W32.Kelvir
   •  Mcafee: W32/Harwig.worm.gen.ba
   •  Kaspersky: IM-Worm.Win32.Harwig.a
   •  TrendMicro: WORM_HARWIG.A
   •  Sophos: W32/Harwig-C
   •  Bitdefender: Worm.Harwig.A


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il bloque l'accès aux certains sites web
   • Il crée un fichier malveillant
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\abcdefg.exe



Le fichier suivant est créé:

%WINDIR%\AST.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/RBot.72262

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "FILE"="c:\windows\\abcdefg.exe"



La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\MSNMessenger]
   • "Server"="messenger.hotmail.com;127.0.0.1:1863"

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– Windows Live Messenger


Message
Le message envoyé ressemble à celui-ci:

   • It is you on that picture right?
     Here check it %lien%
     OMG! LOL ... Some people put a picture of you online :P, did u know that???


%lien%
Tandis que le wildcard est le suivant :
   • http://www.**********database.info/ugly/picture40328.PIF

 Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées déjà existantes ne sont pas modifiées.

– L'accès au lien URL suivant est effectivement bloqué :
   • messenger.hotmail.com




Le fichier hôte modifié ressemblera à ceci:


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • Morphine 1.4 - 2.7

Description insérée par Iulia Diaconescu le mercredi 31 août 2005
Description mise à jour par Iulia Diaconescu le lundi 19 septembre 2005

Retour . . . .