Nom:Worm/Small.B.3
La date de la découverte:03/06/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:119.296 Octets
Somme de contrôle MD5:58180E0Dd5ff2df69979336c343e32f0
Version VDF:6.34.01.182
Version IVDF:6.34.01.188 - mardi 6 juin 2006

 Général Méthode de propagation:
   • Email


Les alias:
   •  Kaspersky: Email-Worm.Win32.Small.b
   •  TrendMicro: WORM_SMALL.MS
   •  Eset: Win32/PSW.Delf.NAM
   •  Bitdefender: Win32.Olia.A@mm


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il crée un fichier malveillant
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il vole de l'information


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\krnl32.dll
   • %le dossier d'exécution du malware%\photos.exe



Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %SYSDIR%\photo1.jpg
   • %SYSDIR%\photo2.jpg
   • %SYSDIR%\photo3.jpg
   • %réglages définis par l'utilisateur%\photo1.jpg
   • %réglages définis par l'utilisateur%\photo2.jpg
   • %réglages définis par l'utilisateur%\photo3.jpg

%SYSDIR%\krnl32.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Small.B.4

%le dossier d'exécution du malware%\~$run.$$$ Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Small.B.4

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\krnl32.exe

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:
En plus, il a la capacité d'envoyer un email avec des informations sur le système. Il est le plus probable que le destinataire soit l'auteur.


De:
L'expéditeur de cet e-mail est un des ceux qui suivent:
   • Olia-muk@rambler.ru
   • ZanOlia@rambler.ru
   • oliechka84@rambler.ru


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)
– Les adresses créées


Sujet:
Le suivant:
   • %texte russe% %la date courante% %l'heure
      courante%



Corps:
Le corps de l'email est le suivant:
   • %texte russe%


Pièce jointe:

   • photos.exe

   • photo1.jpg

   • photo2.jpg

   • photo3.jpg


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • %temporary internet files%\*.htm
   • %temporary internet files%\*.html
   • %temporary internet files%\*.shtml
   • %temporary internet files%\*.phtml
   • %temporary internet files%\*.php
   • %temporary internet files%\*.txt
   • %temporary internet files%\*.pas
   • %temporary internet files%\*.tmp


Serveur MX:
Il n'emploi pas le serveur MX standard:
Il a la capacité de contacter le serveur MX:
   • mail.rambler.ru

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe employés par la fonction AutoComplete
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Les mots de passe des programmes suivants:
   • The Bat!
   • Opera

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec les logiciels de compression des exécutables suivants:
   • ASPack
   • UPX

Description insérée par Andrei Gherman le vendredi 9 juin 2006
Description mise à jour par Andrei Gherman le vendredi 9 juin 2006

Retour . . . .