Nom:Worm/VB.DW
La date de la découverte:16/02/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:210.432 Octets
Somme de contrôle MD5:b420a430d733a3a1d8b27e71f78590e1
Version VDF:6.33.01.01

 Général Méthode de propagation:
   • Peer to Peer


Les alias:
   •  Kaspersky: P2P-Worm.Win32.VB.dw
   •  Bitdefender: Trojan.Dropper.G


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier
   • Il crée un fichier malveillant
   • Il modifie des registres


Immédiatement après l'exécution l'information suivante est affichée:





   %internet resource used by malware%:
   
   • www.torrentz.com
   • www.download.com
   • www.mininova.com

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %PROGRAM FILES%\outlook\outlook.exe
   • %PROGRAM FILES%\outlook\v.tmp



Il se copie dans des fichiers compressés à l'emplacement suivant :
   • %PROGRAM FILES%\outlook\p.zip



Il écrase les fichiers suivants.
%SYSDIR%\netstat.exe
%SYSDIR%\ping.exe
%SYSDIR%\tracert.exe
%SYSDIR%\tasklist.exe
%SYSDIR%\taskkill.exe
%SYSDIR%\regedit.exe
%SYSDIR%\cmd.exe



Les fichiers suivants sont créés:

– Fichier inoffensif:
   • %SYSDIR%\bszip.dll

%lecteur système racine%\onoes.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/RBot.174080




Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • %PROGRAM FILES%\LimeWire\LimeWire.exe
   • %PROGRAM FILES%\Morpheus\morpheus.exe
   • %PROGRAM FILES%\Morpheus Ultra\morpheus.exe
   • %PROGRAM FILES%\BearShare\BearShare.exe
   • %PROGRAM FILES%\Shareaza\Shareaza.exe

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • outlook = %PROGRAM FILES%\outlook\outlook.exe /auto

 P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:  


Il cherche les répertoires suivants:
   • %dossier partagé BearShare%
   • %dossier partagé LimeWire%
   • %dossier partagé Morpheus%
   • %dossier partagé Morpheus Ultra%
   • %dossier partagé Shareaza%

   En cas de succès, les fichiers suivants sont créés:
   • %dossier partagé BearShare%\Shared\%rassemblé sur l'Internet%.zip
   • %dossier partagé LimeWire%\Shared\%rassemblé sur l'Internet%.zip
   • %dossier partagé Morpheus%\Shared\%rassemblé sur l'Internet%.zip
   • %dossier partagé Morpheus Ultra%\Shared\%rassemblé sur l'Internet%.zip
   • %dossier partagé Shareaza%\Shared\%rassemblé sur l'Internet%.zip

   Le fichier compressé contient une copie du Malware.

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Andrei Gherman le mercredi 12 avril 2006
Description mise à jour par Andrei Gherman le mercredi 12 avril 2006

Retour . . . .