Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/KillAV.GR
Numro CME:24
La date de la dcouverte:19/01/2006
Type:Ver
En circulation:Oui
Infections signales Faible a moyen
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:~100.000 Octets
Version VDF:6.33.00.140

 Gnral Mthodes de propagation:
   • Email
   • Le rseau local


Les alias:
   •  Symantec: W32.Blackmal.E@mm
   •  Mcafee: W32/MyWife.d@MM!M24
   •  Kaspersky: Email-Worm.Win32.Nyxem.e
   •  TrendMicro: WORM_GREW.A
   •  F-Secure: Email-Worm.Win32.Nyxem.e
   •  Sophos: W32/Nyxem-D
   •  Panda: W32/Tearec.A.worm
   •  Grisoft: Worm/Generic.FX
   •  VirusBuster: Worm.P2P.VB.CIL
   •  Bitdefender: Win32.Nyxem.E@mm

Avant, il tait dtect comme:
     TR/KillAV.GR


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrt les applications de scurit
   • Il emploie son propre moteur de courrier lectronique
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\Rundll16.exe
   • %WINDIR%\sytem32\scanregw.exe
   • %WINDIR%\sytem32\Update.exe
   • %WINDIR%\sytem32\Winzip.exe



Il crase les fichiers suivants.
La synchronisation de temps est inclue dans le code du virus et elle sera active au moment suivant : Si le jour a la valeur suivante: 3

%tous les dossiers%

Terminaison des fichiers :
   • .doc
   • .xls
   • .mdb
   • .mde
   • .ppt
   • .pps
   • .zip
   • .rar
   • .pdf
   • .psd
   • .dmp

Avec le contenu suivant:
   • DATA Error [47 0F 94 93 F4 K5]




Il supprime les fichiers suivants:
   • %PROGRAM FILES%\*.htm*
   • %PROGRAM FILES%\DAP\*.dll
   • %PROGRAM FILES%\BearShare\*.dll
   • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
   • %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
   • %PROGRAM FILES%\Norton AntiVirus\*.exe
   • %PROGRAM FILES%\Alwil Software\Avast4\*.exe
   • %PROGRAM FILES%\McAfee.com\VSO\*.exe
   • %PROGRAM FILES%\McAfee.com\Agent\*.*
   • %PROGRAM FILES%\McAfee.com\shared\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
   • %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
   • %PROGRAM FILES%\NavNT\*.exe
   • %PROGRAM FILES%\Morpheus\*.dll
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
   • %PROGRAM FILES%\Grisoft\AVG7\*.dll
   • %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
   • %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
   • %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar



Le fichier suivant est cr:

%SYSDIR%\%le fichier excut%.zip Il est ouvert en employant l'application dfaut pour ce type de fichier.

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "ScanRegistry"="scanregw.exe /scan"



Les valeurs des cls de registre suivantes sont supprimes:

–  HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • APVXDWIN
   • avast!
   • AVG_CC
   • AVG7_CC
   • AVG7_EMC
   • Avgserv9.exe
   • AVGW
   • BearShare
   • ccApp
   • CleanUp
   • defwatch
   • DownloadAccelerator
   • kaspersky
   • KAVPersonal50
   • McAfeeVirusScanService
   • MCAgentExe
   • McRegWiz
   • MCUpdateExe
   • McVsRte
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • NAV Agent
   • NPROTECT
   • OfficeScanNT Monitor
   • PCCClient.exe
   • pccguide.exe
   • PCCIOMON.exe
   • PCClient.exe
   • PccPfw
   • Pop3trap.exe
   • rtvscn95
   • ScanInicio
   • ScriptBlocking
   • SSDPSRV
   • TM Outbreak Agent
   • tmproxy
   • Vet Alert
   • VetTray
   • VirusScan Online
   • vptray
   • VSOCheckTask

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • APVXDWIN
   • avast!
   • AVG_CC
   • AVG7_CC
   • AVG7_EMC
   • Avgserv9.exe
   • AVGW
   • BearShare
   • ccApp
   • CleanUp
   • defwatch
   • DownloadAccelerator
   • kaspersky
   • KAVPersonal50
   • McAfeeVirusScanService
   • MCAgentExe
   • McRegWiz
   • MCUpdateExe
   • McVsRte
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • NAV Agent
   • NPROTECT
   • OfficeScanNT Monitor
   • PCCClient.exe
   • pccguide.exe
   • PCCIOMON.exe
   • PCClient.exe
   • PccPfw
   • Pop3trap.exe
   • rtvscn95
   • ScanInicio
   • ScriptBlocking
   • SSDPSRV
   • TM Outbreak Agent
   • tmproxy
   • Vet Alert
   • VetTray
   • VirusScan Online
   • vptray
   • VSOCheckTask



La cl de registre suivante est change:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   L'ancienne valeur:
   • "WebView""=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "WebView""=dowrd:00000000

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)
les adresses d'email recueillies du Yahoo! Messenger
les adresses d'email recueillies du MSN Messenger


Sujet:
Un des suivants:
   • The Best Videoclip Ever; School girl fantasies gone bad; A Great
      Video; Fuckin Kama Sutra pics; Arab sex DSC-00465.jpg; give me a kiss;
      *Hot Movie*; Fw: Funny :); Fwd: Photo; Fwd: image.jpg; Fwd: Crazy
      illegal Sex!; Fw: Sexy; Re:; Fw:; Fw: Picturs; Fw: DSC-00465.jpg; Word
      file; eBook.pdf; the file; Part 1 of 6 Video clipe; You Must View This
      Videoclip!; Miss Lebanon 2006; Re: Sex Video; My photos; Photos; Fwd:
      image.jpg

Dans certains cas, le sujet pourrait galement tre vide.


Corps:
Le corps de l'email est un des suivants:

   • Note: forwarded message attached.

   • Hot XXX Yahoo Groups

   • Fuckin Kama Sutra pics

   • ready to be FUCKED ;)

   • VIDEOS! FREE! (US$ 0,00)

   • >> forwarded message

   • ----- forwarded message -----

   • i just any one see my photos. It's Free :)

   • hello,
     i send the file.
     bye

   • hi
     i send the details
     bye

   • how are you?
     i send the details.
     OK ?

   • i attached the details.

   • Thank you

   • Please see the file.

   • What?

   • ???????????????????????????? ????????????? ??????
     ???????????


Pice jointe:
Le nom de fichier de l'attachement est un des suivants:
   • DSC-00465.Pif; image04.pif; photo.pif; School.pif; 677.pif; 04.pif;
      eBook.PIF; New_Document_file.pif; 007.pif; document.pif;
      DSC-00465.pIf; Video_part.mim; Attachments[001].B64;
      3.92315089702606E02.UUE; WinZip.BHX; Attachments001.BHX; Sex.mim;
      Original Message.B64; eBook.Uu; Attachments00.HQX; Word_Document.hqx;
      Word_Document.uu

L'attachement est une copie du malware lui-mme.



L'email pourrait ressembler un des suivants:



 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .HTM; .DBX; .EML; .MSG; .OFT; .NWS; .VCF; .MBX; .IMH; .TXT; .MSF


Rsoudre les noms des serveurs:
Il a la capacit d'entrer en contact avec les serveur DNS:
   • ns1.%le nom de domaine du destinataire de l'adresse email%

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.

Il s'autocopie dans le partage rseau suivant:
   • C$


Il emploie les informations d'identification suivantes afin de gagner accs la machine distante:

Le nom d'utilisateur suivant:
   • administrator



Excution distance:
Il essaye de programmer une excution distance du malware, sur la machine nouvellement infecte. Par consquent il emploie la fonction NetScheduleJobAdd.

 Arrt de processus: Les processus contenant un des titres de fentre suivants sont arrts:
   • SYMANTEC
   • SCAN
   • KASPERSKY
   • VIRUS
   • MCAFEE
   • TREND MICRO
   • NORTON
   • REMOVAL
   • FIX


 Porte drobe Serveur de contact:
Le suivant:
   • http://webstats.web.rcn.net/cgi-bin/**********?df=765247

En consquence il peut envoyer de l'information. Ceci est fait par l'intermdiaire de la requte HTTP GET du script CGI.


Il envoie de l'information au sujet de:
     Le statut courant du malware

 Dtails de fichier Langage de programmation:
Le fichier a t crit en Visual Basic.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Andrei Ivanes le vendredi 20 janvier 2006
Description mise à jour par Andrei Gherman le mardi 12 septembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.