Nom:Worm/Komodo
La date de la découverte:06/03/2006
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:48.829 Octets
Somme de contrôle MD5:1806d75a231dac7385307d888588de45
Version VDF:6.33.01.70

 Général Méthode de propagation:
   • Email
   • Le réseau local


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il télécharge des fichiers
   • Il emploie son propre moteur de courrier électronique
   • Il diminue les réglages de sécurité


Immédiatement après l'exécution l'information suivante est affichée:



 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\n6873\smss.exe
   • %SYSDIR%\n6873\csrss.exe
   • %SYSDIR%\n6873\lsass.exe
   • %SYSDIR%\n6873\services.exe
   • %SYSDIR%\n6873\winlogon.exe
   • %WINDIR%\komodo-6262022.exe
   • %SYSDIR%\c_26202k.com
   • %SYSDIR%\n6873\sv711540830r.exe
   • %WINDIR%\cinderawasih-4262027.exe
   • %WINDIR%\_default26202.pif
   • %HOME%\Local Settings\Application Data\dv6154080x\yesbron.com



Les fichiers suivants sont créés:

– Des fichiers qui contiennent des adresses email collectées:
   • %SYSDIR%\n6873\Spread.Mail.Bro\%l'adresse email du destinataire%.ini
   • %SYSDIR%\n6873\Spread.Sent.Bro\%l'adresse email du destinataire%.ini

– Des fichiers qui peuvent être supprimés après:
   • %SYSDIR%\n6873\brmac.bat
   • %SYSDIR%\n6873\brdom.bat
   • %SYSDIR%\n6873\getmac.txt
   • %SYSDIR%\n6873\getdomlist.txt
   • %SYSDIR%\n6873\domlist.txt

– C:\Baca Bro !!!.txt Ceci est un fichier texte non malveillant avec le contenu suivant:
   • BRONTOK.C[19]
     Sedikit Jawaban u/ Membungkam Mulut Sesumbar 'MEREKA'.
     Nobron = Satria Dungu = Nothing !!!
     [ By JowoBot ]

%SYSDIR%\n6873\c.bron.tok.txt Ceci est un fichier texte non malveillant avec le contenu suivant:
   • Brontok.C
     By:JowoBot




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://www.geocities.com/bvcbrosbl/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\n6873\sv711540830r.exeupinf.ini Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Tok-Cirrhatus-2487namc = %SYSDIR%\n6873\sv711540830r.exe

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   run]
   • Tok-Cirrhatus-2487namc = %HOME%\Local Settings\Application Data\dv6154080x\yesbron.com

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Bron-Spizaetus-4128XPPM = %WINDIR%\komodo-6262022.exe

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   run]
   • Bron-Spizaetus-4128XPPM = %WINDIR%\_default26202.pif

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   • AlternateShell = c_26202k.com



Les valeurs des clés de registre suivantes sont supprimées:

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • iExplorer
   • lExplorer
   • dkernel.exe
   • dkernel
   • Security
   • local service
   • SymRun
   • OSA
   • ccapp
   • CCAPPS
   • LoadServices
   • LoadService
   • MsPatch
   • Bron-Spizaetus

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • iExplorer
   • lExplorer
   • dkernel.exe
   • dkernel
   • Security
   • local service
   • SymRun
   • OSA
   • ccapp
   • CCAPPS
   • LoadServices
   • LoadService
   • MsPatch
   • Tok-Cirrhatus-2487
   • Tok-Cirrhatus



Les clés de registre suivantes sont changées:

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • Userinit = %SYSDIR%\userinit.exe
   • Shell = Explorer.exe
   La nouvelle valeur:
   • Userinit = %SYSDIR%\userinit.exe,%WINDIR%\komodo-6262022.exe
   • Shell = Explorer.exe "%WINDIR%\cinderawasih-4262027.exe"

Différents réglages pour Explorer:
– [HKCU\software\microsoft\windows\currentversion\explorer\advanced]
   L'ancienne valeur:
   • ShowSuperHidden = %réglages définis par l'utilisateur%
   • HideFileExt = %réglages définis par l'utilisateur%
   • Hidden = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • ShowSuperHidden = dword:00000000
   • HideFileExt = dword:00000001
   • Hidden = dword:00000000

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.


Le format des emails:
 


Sujet: My Photo on Paris
Le corps:
   • This photo was taken from my vacation on Paris, last week.
     Wishing you always remember me.
     Regards,
L'attachement:
   • Picture.zip
 


Sujet: Foto Liburanku di Bali
Le corps:
   • Halo Sobat,
     Ini fotoku saat liburan di Bali.
     Semoga kamu jadi ingat aku terus.
     Terima kasih,
L'attachement:
   • Picture.zip


Pièce jointe:

L'attachement est une copie du malware décrit ci-dessous: TR/Dldr.Orangbi



L'email ressemble à celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .INI; .BAT; .PIF; .COM; .SCR; .EXE; .PPT; .XLS; .DOC; .CFM; .PHP;
      .ASP; .WAB; .EML; .CSV; .HTML; .HTM; .TXT


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • yahoo; abuse; borland; acer; compaq; torvald; trovald; detik; anony;
      coding; guru; code; script; @mm; w32; NONE; CASTLE; WINRAR; WINZIP;
      HELP; IRFANVIEW; MSDN; .CA.COM; PROMO; SALES; CLICK; IPTEK; USERNAME;
      SIERRA; STUDIO; TELECOM; LUCENT; NASA; ELECTRO; ELEKTRO; SYNDICAT;
      LOOKSMART; @123; @ABC; XANDROS; BUNTU; SUSE; REDHA; SLACK; @MAC; FUJI;
      INFORMA; TRACK; KDE; IEEE; LAB; MATH; BUG; FREE; REGIST; SPYW; SECUN;
      COMPUTE; COMPUSE; BROWSE; ALWIL; ROBOT; ANTIGEN; SYBARI; NOD32; HAURI;
      ESCAN; PROLAND; AHNLAB; DATABASE; BUILDER; ALADDIN; PROTECT; ESAFE;
      ESAVE; TRUST; AVAST; AVIRA; ADMIN; ZOMBIE; SPERSKY; GOOGLE; SUN.;
      POSTGRE; MYSQL; APACHE; NVIDIA; W3.; NOKIA; FUJITSU; SIEMENS; TREND;
      MICRO; LOTUS; CISCO; SEKUR; RELAY; GATEWAY; GROUP; OVERTURE; RESPONSE;
      NEWS; NOVELL; ALERT; OPERA; MOZILLA; NETSCAPE; ARCHIEVE; SERVICE;
      CANON; XEROX; HP.; DOWNLOAD; CNET; ZDNET; ZEND; PROXY; SERVER;
      RECIPIENT; FUCK; ADOBE; MACRO; INTEL.; IBM.; FEEDBACK; BLEEP; BLACK;
      DARK; SENIOR; KOMPUTER; FOO@; DEMO; HIDDEN; DOMAIN; .VBS; .JS; .EXE;
      .HTM; .PHP; .ASP; BILLING@; INFO@; CONTOH; EXAMPLE; SMTP; XXX; TEST;
      NETWORK; SOURCE; PROGRAM; WWW; ASDF; SOME; YOUR; BLAH; SPAM; SOFT;
      PANDA; NORMAN; NORTON; ASSOCIATE; SYMANTEC; SECURITY; CILLIN; GRISOFT;
      AVG; LINUX; CRACK; HACK; VIRUS; MICROSOFT; MASTER; SUPPORT; SECURE;
      UPDATE; DEVELOP; VAKSIN; SATU; EMAILKU; BOLEH; GAUL; ASTAGA; .WEB.ID;
      .AC.ID; .OR.ID; .NET.ID; .SCH.ID; .MIL.ID; .GO.ID; .CO.ID; INDO;
      TELKOM; PLASA; LBS; PLD; HJT; MNE; AML; TPE; AGT; AUD; UTS; LON


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • ns1.
   • mail.
   • smtp.

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– Le nom d'utilisateur suivant:
   • %le nom d'utilisateur courant%



Le processus d'infection:
Le fichier téléchargé est stocké sur la machine compromise comme: %HOME%\Local Settings\Application Data\jalak-931540815-bali.com


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 Arrêt de processus: La liste des processus qui sont terminés:
   • rundll32.exe; diary.exe; avgupsvc.exe; Alicia Keys.exe; Mariana
      Renata.exe; Dian sastro.exe; foto administrator.exe; zlh.exe;
      AntiVirus StartUp.exe; sitinurhaliza.exe; virus.exe; services.com;
      ctfmon.exe; ccapp.exe; nopdb.exe; opscan.exe; vptray.exe; winword.exe;
      update.exe; lexplorer.exe; iexplorer.exe; dkernel.exe; nipsvc.exe;
      njeeves.exe; cclaw.exe; nvcoas.exe; aswupdsv.exe; ashmaisv.exe;
      systray.exe; riyani_jangkaru.exe; xpshare.exe; tskmgr.exe;
      poproxy.exe; mcvsescn.exe; untukmu.exe; sstray.exe; syslove.exe;
      mspatch.exe; kangen.exe; ccapps.exe; avgemc.exe

Les processus contenant un des titres de fenêtre suivants sont arrêtés:
   • washer; anti; CLEANER; REMOVER; PROCESS EXP; SYSINTERNAL; movzx;
      ertanto; hijack; killbox; .exe; scheduled task; computer management;
      group policy; system configuration; command prompt; registry


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Gherman le lundi 6 mars 2006
Description mise à jour par Andrei Gherman le lundi 6 mars 2006

Retour . . . .