Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Rays
La date de la dcouverte:03/02/2004
Type:Ver
En circulation:Oui
Infections signales Faible a moyen
Potentiel de distribution:Moyen lev
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:49.152 Octets
Somme de contrle MD5:e8d54b8ac74c2982fad37567b3bd1ced
Version VDF:6.24.00.34

 Gnral Mthodes de propagation:
   • Email
   • Le rseau local


Les alias:
   •  Symantec: W32.Wullik@mm
   •  Kaspersky: Email-Worm.Win32.Wukill
   •  TrendMicro: WORM_WUKILL.B
   •  Sophos: W32/Wukill-B
   •  Grisoft: I-Worm/Wukill.B
   •  VirusBuster: virus I-Worm.Wukill.B
   •  Bitdefender: Win32.Rays.A@mm


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre des fichiers malveillants
   • Il modifie des registres


Immdiatement aprs l'excution l'information suivante est affiche:


 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\system\%chane de caractres alatoire%.exe
   • %WINDIR%\web\%chane de caractres alatoire%.exe
   • %WINDIR%\fonts\%chane de caractres alatoire%.exe
   • %WINDIR%\temp\%chane de caractres alatoire%.exe
   • %WINDIR%\help\%chane de caractres alatoire%.exe
   • %lecteur%:\winfile.exe
   • %repertoire actuel%\%nom de liste actuelle%.exe



Il cre sa propre copie en employant un nom de fichier des listes:
A: c:\windows employant un des noms suivants:
   • Mstray.exe
   • MsHelp.exe




Les fichiers suivants sont crs:

– Un fichier qui est pour l'utilisation temporaire et qui peut tre supprimer aprs:
   • %TEMPDIR%\~%numro hexadcimal%.tmp

%lecteur%:\desktop.ini Ceci est un fichier texte non malveillant avec le contenu suivant:
   • [.ShellClassInfo]
     HTMLInfoTipFile=file://Comment.htt
     ConfirmFileOp = 0

%lecteur%:\comment.htt Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: VBS/Starter.B

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "RavTimeXP"="%le dossier d'excution du malware%\%le fichier excut%"
   • "RavTimXP"="%le dossier d'excution du malware%\%le fichier excut%"



La valeur de la cl de registre suivante est supprime:

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "RavTimXP"="%le dossier d'excution du malware%\%le fichier excut%"



Les cls de registre suivantes sont changes:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   L'ancienne valeur:
   • "Hidden"=%rglages dfinis par l'utilisateur%
   • "HideFileExt"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   L'ancienne valeur:
   • "fullpath" = %rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "fullpath" = dword:00000001

 Email Il utilise Microsoft Outlook pour envoyer des emails. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est le compte Outlook de l'utilisateur.


A:
 les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Le suivant:
   • MS-DOS????



Corps:
– Il contient du code HTML
Le corps de l'email est le suivant:

   • ????????MSDOS?????
     ???????????


Pice jointe:
Le nom de fichier de l'attachement est:
   • MShelp.EXE

L'attachement est une copie du malware lui-mme.



L'email ressemble celui-ci:


 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.

Il s'autocopie dans le partage rseau suivant:
   • %repertoire actuel%

 Dtails de fichier Langage de programmation:
Le fichier a t crit en Visual Basic.

Description insérée par Daniel Constantin le lundi 13 mars 2006
Description mise à jour par Andrei Gherman le vendredi 24 avril 2009

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.