Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Rays
La date de la découverte:03/02/2004
Type:Ver
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:49.152 Octets
Somme de contrôle MD5:e8d54b8ac74c2982fad37567b3bd1ced
Version VDF:6.24.00.34

 Général Méthodes de propagation:
   • Email
   • Le réseau local


Les alias:
   •  Symantec: W32.Wullik@mm
   •  Kaspersky: Email-Worm.Win32.Wukill
   •  TrendMicro: WORM_WUKILL.B
   •  Sophos: W32/Wukill-B
   •  Grisoft: I-Worm/Wukill.B
   •  VirusBuster: virus I-Worm.Wukill.B
   •  Bitdefender: Win32.Rays.A@mm


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\system\%chaîne de caractères aléatoire%.exe
   • %WINDIR%\web\%chaîne de caractères aléatoire%.exe
   • %WINDIR%\fonts\%chaîne de caractères aléatoire%.exe
   • %WINDIR%\temp\%chaîne de caractères aléatoire%.exe
   • %WINDIR%\help\%chaîne de caractères aléatoire%.exe
   • %lecteur%:\winfile.exe
   • %repertoire actuel%\%nom de liste actuelle%.exe



Il crée sa propre copie en employant un nom de fichier des listes:
– A: c:\windows employant un des noms suivants:
   • Mstray.exe
   • MsHelp.exe




Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %TEMPDIR%\~%numéro hexadécimal%.tmp

%lecteur%:\desktop.ini Ceci est un fichier texte non malveillant avec le contenu suivant:
   • [.ShellClassInfo]
     HTMLInfoTipFile=file://Comment.htt
     ConfirmFileOp = 0

%lecteur%:\comment.htt Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: VBS/Starter.B

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "RavTimeXP"="%le dossier d'exécution du malware%\%le fichier exécuté%"
   • "RavTimXP"="%le dossier d'exécution du malware%\%le fichier exécuté%"



La valeur de la clé de registre suivante est supprimée:

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "RavTimXP"="%le dossier d'exécution du malware%\%le fichier exécuté%"



Les clés de registre suivantes sont changées:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   L'ancienne valeur:
   • "Hidden"=%réglages définis par l'utilisateur%
   • "HideFileExt"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   L'ancienne valeur:
   • "fullpath" = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "fullpath" = dword:00000001

 Email Il utilise Microsoft Outlook pour envoyer des emails. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est le compte Outlook de l'utilisateur.


A:
– les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Le suivant:
   • MS-DOS????



Corps:
– Il contient du code HTML
Le corps de l'email est le suivant:

   • 这是一款相当好的MS—DOS帮助文件。
     看看吧,对你有好处的。


Pièce jointe:
Le nom de fichier de l'attachement est:
   • MShelp.EXE

L'attachement est une copie du malware lui-même.



L'email ressemble à celui-ci:


 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans le partage réseau suivant:
   • %repertoire actuel%

 Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Description insérée par Daniel Constantin le lundi 13 mars 2006
Description mise à jour par Andrei Gherman le vendredi 24 avril 2009

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.