Nom:Worm/Anker.P
La date de la découverte:02/09/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:15.872 Octets
Somme de contrôle MD5:0d190e489ecb8c595425eb7543ee2624
Version VDF:6.31.1.208

 Général Méthode de propagation:
   • Email


Les alias:
   •  Symantec: W32.Ahker@mm
   •  Mcafee: AgentHacker
   •  Kaspersky: Email-Worm.Win32.Anker.p
   •  TrendMicro: WORM_AHKER.J
   •  F-Secure: W32/Anker.G@mm
   •  VirusBuster: I-Worm.Anker.G
   •  Bitdefender: Win32.Anker.P@mm


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows ME


Effets secondaires:
   • Il télécharge un fichier
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\Bazzi.exe




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://www.aliensoftware.co.uk/Files0908/MSWINSCK.OCX
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\MSWINSCK.OCX

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft AntiSpyware"="Bazzi.exe"



Les clés de registre suivantes sont changées:

– [HKLM\Software\speedBit\Download Accelerator]
   L'ancienne valeur:
   • "BrowserIntegration"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "BrowserIntegration"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   L'ancienne valeur:
   • "Hidden"="=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Hidden"=dword:00000000

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)


Le format des emails:
 


De: peter_parker@hotmail.com
Sujet: Returned mail
Le corps:
   • sendmail daemon reported:
     Error 804 occured during SMTP session. Partial message has been received.
 


De: mariah_hillary@aol.com
Sujet: Delivery Error
Le corps:
   • Mail transaction failed. Partial message is available.
 


De: johnloke@msn.uk
Sujet: Status
Le corps:
   • The message contains Unicode characters and has been sent as a binary attachment.
 


De: bazzi@microsoft.com
Sujet: Server Report
Le corps:
   • The message contains MIME-encoded graphics and has been sent as a binary attachment.
 


De: sarah_alia@yahoo.com
Sujet: Mail Transaction Failed
Le corps:
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
 


De: seniormanager@byblos.com
Sujet: Mail Delivery System
Le corps:
   • Your credit card was charged for $500 USD. For additional information see the attachment.
 


De: michel_bado@gmail.com
Sujet: Do not reply to this email!
Le corps:
   • ESMTP [Secure Mail System 334]: Secure message is attached.
 


De: otacon@konami.jp
Sujet: Error
Le corps:
   • Encrypted message is available.
 


De: majortom@fbi.gov
Sujet: FWD:Hello
Le corps:
   • You have visited illegal websites!!
     I have a big list of the websites you surfed.
 


De: hilton_britgette@ahker.lb
Sujet: FWD:Hey
Le corps:
   • Bad Gateway: The message has been attached.
 


De: billy@hacker.com
Sujet: There you go!
Le corps:
   • There is the password you requested!
 


De: agent@hacker.com
Sujet: Password Cracked!
Le corps:
   • Hotmail Cracker Version 2.25 attached!


Pièce jointe:
Le nom de fichier de l'attachement est:
   • Message.Zip

L'attachement est une copie du malware lui-même.

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • doc; slk; txt; wab; htt; htm; html; ppt; hta; hte; htx; pst; shtml;
      stm; asp; rtf; xml; adb; tbb; sht; dbx; uin; abc; abd; vap; abx; ade;
      adp; vbs; adr; bak; bas; vcf; cfg; cgi; cls; wsh; cms; csv; ctl;
      xhtml; dhtm; dsp; dsw; xls; eml; fdb; frm; hlp; imb; imh; imm; inbox;
      ini; jsp; ldb; ldif; log; mbx; mda; mdb; mde; mdw; mdx; mht; mmf; msg;
      nab; nch; nfo; nsf; nws; ods; oft; phtm; pmr

 Arrêt de processus: Le processus suivant est terminé:
   • DAP.exe


 DoS Immédiatement après il devient actif, il commence un attaque DoS vers la destination suivante:
   • http://www.rohitab.com

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Razvan Olteanu le lundi 5 septembre 2005
Description mise à jour par Razvan Olteanu le lundi 5 septembre 2005

Retour . . . .