Nom:Worm/Kafs.A
La date de la découverte:12/10/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:15.673 Octets
Somme de contrôle MD5:DCE647910FF508DA7B48577C218F6050
Version VDF:6.32.00.65

 Général Méthode de propagation:
   • Email


Les alias:
   •  Symantec: W32.Erkez.G@mm
   •  Kaspersky: Email-Worm.Win32.Zafi.g
   •  TrendMicro: WORM_ZAFI.F
   •  Bitdefender: Win32.Zafi.F@mm


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\%chaîne de caractères aléatoire%.dll
   • %SYSDIR%\AntiVirus Update.exe



Les fichiers suivants sont créés:

– Fichier inoffensif:
   • %SYSDIR%\%chaîne de caractères aléatoire%.dll

– Un fichier qui contient des adresses d'e-mail collectées:
   • %SYSDIR%\%chaîne de caractères aléatoire%.dll

– Des fichiers qui peuvent être supprimés après:
   • %SYSDIR%\a.wsf
   • %System Root Drive%\m.txt

– %System Root Drive%\z.m Ceci est un fichier texte non malveillant qui contient d'information au sujet de soi-même.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\AntiVirus Update.exe



La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Zi5]

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:
La langue dans laquelle l'email est envoyé dépend du Top-Level-Domain.


De:
L'adresse de l'expéditeur est le compte Outlook de l'utilisateur.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.


Sujet:
Le sujet de l'email est construit de ce que suit:

    Parfois il commence avec un des suivants:
   • FW:
   • RE:

    Continué par un des suivants:
   • msn photo ecard
   • commercial ecard :)
   • witzig reklame :))
   • witzig bild :D
   • legszexibb megasztar foto!
   • szavazz ra te is!
   • broma :))
   • humor :))
   • rolig reklam :))
   • haha - rolig :))
   • grappig beeld :))
   • een grappig reclame :D
   • blague :))
   • humour - reclame :))
   • scherzo :))
   • comico quadro :))
   • humor.ru
   • :D


Corps:
– Il contient du code HTML
Le corps de l'email est le suivant:

   • ImageFormat: 640x480
     ImageSize: 16Kb
     Message: you need to see this :))
     From: %le nom d'utilisateur du compte d'email%
     Date: %la date courante%
     AV-Control: http://%le domaine du destinataire%/%le nom de l'attachement sans l'extension%.zip MSN Mail: +++ No Virus
     Filename: %chaîne de caractères aléatoire%.jpg [download]

   • BildFormat: 640x480
     Bildabmessung: 16Kb
     Botschaft: eine witzig reklame foto :))
     Absender: %le nom d'utilisateur du compte d'email%
     Datum: %la date courante%
     AV-Kontrolle: http://%le domaine du destinataire%/%le nom de l'attachement sans l'extension%.zip MSN Mail: +++ No Virus
     Filename: %chaîne de caractères aléatoire%.jpg [download]

   • KepFormetum: 640x480
     KepMeret: 16Kb
     Dzenet: itt a kedvenc megaszteros kepem :))
     Feladf=F3: %le nom d'utilisateur du compte d'email%
     Detum: %la date courante%
     AV-Ellenfrzes: http://%le domaine du destinataire%/%le nom de l'attachement sans l'extension%.zip MSN Mail: +++ No Virus
     Filenev: %chaîne de caractères aléatoire%.jpg [download]

   • Cuadro/Medida: 16Kb
     Mensaje: Sexo y humor para pasar un buen rato! :))
     Expedidor: %le nom d'utilisateur du compte d'email%
     Data: %la date courante%
     AV-Control: http://%le domaine du destinataire%/%le nom de l'attachement sans l'extension%.zip MSN Mail: +++ No Virus
     Filename: %chaîne de caractères aléatoire%.jpg [download]

   • Bildform: 640x480
     Bild/Omfattning: 16Kb
     Meddelande: rolig reklam!! :))
     Post: %le nom d'utilisateur du compte d'email%
     Datum: %la date courante%
     AV-Control: http://%le domaine du destinataire%/%le nom de l'attachement sans l'extension%.zip MSN Mail: +++ No Virus
     Filenamn: %chaîne de caractères aléatoire%.jpg [download]

   • Beeldformaat: 640x480
     Beeldmaat: 16Kb
     Boodschap: een ontroerend of grappig reclame :))
     Afzender: %le nom d'utilisateur du compte d'email%
     Datum: %la date courante%
     AV-Controle: http://%le domaine du destinataire%/%le nom de l'attachement sans l'extension%.zip MSN Mail: +++ No Virus
     Filename: %chaîne de caractères aléatoire%.jpg [download]

   • Image/Mode: 640x480
     Image/Taille: 16Kb
     Message: le sexe d'une femme apres l'amour (humour, reclame) :))
     Expediteur: %le nom d'utilisateur du compte d'email%
     Date: %la date courante%
     AV-Verification: http://%le domaine du destinataire%/%le nom de l'attachement sans l'extension%.zip MSN Mail: +++ No Virus
     Filenom: %chaîne de caractères aléatoire%.jpg [download]

   • Quadro/Forma: 640x480
     Quadro/Proporzioni: 16Kb
     Messaggio: comico reclame!! :))
     Mittente: %le nom d'utilisateur du compte d'email%
     Data: %la date courante%
     AV-Controllare: http://%le domaine du destinataire%/%le nom de l'attachement sans l'extension%.zip MSN Mail: +++ No Virus
     Nomefile: %chaîne de caractères aléatoire%.jpg [download]

   • открытка с видом: 640 x 480
     по величине: 16 Kb
     послание: :))
     отправитель: %le nom d'utilisateur du compte d'email%
     отображение даты: %la date courante%
     AV-контролер: http://%le domaine du destinataire%/%le nom de l'attachement sans l'extension%.zip MSN Mail: +++ No Virus
     имя файла: %random chracter string%.jpg [загружаемый]


Pièce jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • reklam
   • megasztar
   • humor
   • reklame
   • reclame
   • humor
   • funny
   • commercial
   • msn
   • messenger
   • photo

Parfois continué par un des suivants:
   • reklam
   • megasztar
   • humor
   • reklame
   • reclame
   • humor
   • funny
   • commercial
   • msn
   • messenger
   • photo

   • foto%plusieurs chiffres aléatoires%
   • imag%plusieurs chiffres aléatoires%
   • pict%plusieurs chiffres aléatoires%
   • dscn%plusieurs chiffres aléatoires%

    L'extension du fichier est une des suivantes:
   • .zip

L'attachement est une copie du fichier créé: %SYSDIR%\%chaîne de caractères aléatoire%.dll



L'email ressemble à celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • dbx; asp; txt; htm; mbx; wab; php; sht; adb; tbb; inb; pmr; fpt; eml


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • support; google; win; use; info; help; admi; webm; micro; msn; hotmai;
      suppor; soft; www; service; test; linux; subsc; sales; contact@; -faq;
      secur; nod3; trend; bitde; symant; eset; panda; mcafe; sopho; kasper


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il ajoute au début du nom de domaine la chaîne de caractères suivant:
   • mx.

 Arrêt de processus:  Arrête l'exécution des processus qui contient une des chaînes de caractères suivantes dans le nom du fichier:
   • reged
   • msconfig
   • task

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • FSG

Description insérée par Andrei Gherman le mercredi 12 octobre 2005
Description mise à jour par Andrei Gherman le jeudi 13 octobre 2005

Retour . . . .