Nom:Worm/VB.AT.1
La date de la découverte:03/08/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:12.288 Octets
Somme de contrôle MD5:85add335b75d9a6c44019f5ffdbf2b9a
Version VDF:6.31.01.54

 Général Méthode de propagation:
   • Mapped network drives


Les alias:
   •  Symantec: W32.Cabreck
   •  Mcafee: W32/CableNet.worm
   •  Kaspersky: Worm.Win32.VB.at
   •  TrendMicro: WORM_CABRECK.A
   •  Sophos: W32/Cablenet-A
   •  Grisoft: Worm/VB.DR
   •  VirusBuster: Worm.Cablenet.A
   •  Eset: Win32/VB.NCN
   •  Bitdefender: Win32.Cablenet.A


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres

 Fichiers Une section est ajoutée à un fichier.
– A: %WINDIR%\win.ini Avec le contenu suivant:
   • [CopyRight]
     Author= Gabe
     Name= Cable
     Origin= India
     Type= Netwreck Worm
     Credicts= [Cable] By Gabe (Gabe Roq's Inc.)
     Warning= Amazing things will happen, you just wait...
     Note= Your Death is comming...Anticipation afterall is everything!
     SignNote= Because Death is only the beginning...
     Quote= For those who believe no explanation is necessary, for those who don't nothing will suffice.




Le fichier suivant est créé:

%WINDIR%\Cable.ini Ceci est un fichier texte non malveillant avec le contenu suivant:
   • [CopyRight]
     Author= Gabe
     Name= Cable
     Origin= India
     Type= Netwreck Worm
     Credicts= [Cable] By Gabe (Gabe Roq's Inc.)
     Warning= Amazing things will happen, you just wait...
     Note= Your Death is comming...Anticipation afterall is everything!
     SignNote= Because Death is only the beginning...
     Quote= For those who believe no explanation is necessary, for those who don't nothing will suffice.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="Cable.exe"

 P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:  


Il cherche les répertoires suivants:
   • %lecteur système racine%
   • c:\windows

Il recherche tous les dossiers partagés.

   En cas de succès, les fichiers suivants sont créés:
   • Cable.exe; FileCryptor.exe; Microsoft SP4.exe; Acrobat Reader.exe;
      Setup.exe; NAI Mcafee.exe; Norton AV.exe; PGP Free.exe; Password
      recovery.exe; KazzaP2P.exe; Download accelerator.exe; Linux
      Source.exe; Winzip.exe; Lotus app.exe; Netscape.exe; Money Manger.exe;
      Paypal.exe; FixMydoom.exe; BillSux.exe; MorpheusP2P.exe; E_donkey.exe;
      Calvin and Hobbes.exe

   Ces fichiers sont copies du Malware.



Le dossier partagé pourrait ressembler à ce qui suit:


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Irina Boldea le mardi 16 mai 2006
Description mise à jour par Irina Boldea le mardi 16 mai 2006

Retour . . . .