Nom:WORM/Klone.B.131
La date de la découverte:22/12/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:8.238 Octets
Somme de contrôle MD5:58fc31a3d9e462376d1d5a56abbd5a80
Version VDF:6.33.00.55

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: Downloader-ZQ
   •  Kaspersky: Packed.Win32.Klone.b
   •  Bitdefender: GenPack:Trojan.Downloader.Galapoper.A


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers
   • Il télécharge un fichier malveillant
   • Il modifie des registres

 Fichiers Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://69.50.171.171/images/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\paradise.raw.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Packed.Klone.b.1


– L'emplacement est le suivant:
   • http://69.50.171.171/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\svcp.csv

– L'emplacement est le suivant:
   • http://69.50.171.171/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\winsub.xml

 Registre La clé de registre suivante est ajoutée:

– [HKEY_CURRENT_USER]
   • "WindowsSubVersion"=dword:%valeurs hexa%

 Porte dérobée Serveur de contact:
Le suivant:
   • http://69.50.171.171/**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

 Informations divers Mutex:
Il crée le Mutex suivant:
   • gagagaradio

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Daniel Constantin le mardi 27 décembre 2005
Description mise à jour par Daniel Constantin le mercredi 1 mars 2006

Retour . . . .