Nom:Worm/VB.CM.16
La date de la découverte:08/08/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:265.647 Octets
Somme de contrôle MD5:d446896360493dccba3463482ec11a4f
Version VDF:6.35.01.62 - mardi 8 août 2006
Version IVDF:6.35.01.62 - mardi 8 août 2006

 Général Méthodes de propagation:
   • Le réseau local
   • Peer to Peer


Les alias:
   •  Kaspersky: P2P-Worm.Win32.VB.cm
   •  Bitdefender: Win32.Worm.VB.CE


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il crée un fichier malveillant
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\ircbot.exe



Il écrase les fichiers suivants.
– \\%ordinateurs dans le domaine actuel%\% liste du réseau utilisé en commun%\%toutes les sous-répertoires%\

Terminaison du fichier :
   • exe

Avec le contenu suivant:
   • %le fichier exécuté%




Il copie les fichiers suivants:
    •  \\%ordinateurs dans le domaine actuel%\% liste du réseau utilisé en commun%\%toutes les sous-répertoires%\*.exe en \\%ordinateurs dans le domaine actuel%\% liste du réseau utilisé en commun%\%toutes les sous-répertoires%\*.exe.bak



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

– Fichier inoffensif:
   • %SYSDIR%\Mswinsck.ocx

%le dossier d'exécution du malware%\Kill.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.
%WINDIR%\Lvcomx.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Drp.VB.CJ.4

%WINDIR%\infect.bat

 Registre La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\ProductName\ProductID]

 P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:  


Il cherche les répertoires suivants:
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\
   • %PROGRAM FILES%\LimeWire\Shared\
   • %PROGRAM FILES%\BearShare\Shared\
   • %PROGRAM FILES%\Morpheus\My Shared Folder\
   • %PROGRAM FILES%\Grokster\My Grokster\

   Il recherche le dossier partagé en questionnant la clé de registre suivante :
   • HKLM\SOFTWARE\Kazaa\LocalContent\DownloadDir

   En cas de succès, les fichiers suivants sont créés:
   • VB6+Crack.zip.exe
   • (Hot)CamStrip.mpg.exe
   • TrojanScanPro.exe
   • (Hot)sex ,f**k ,a**l ,wet p***y ,f**ked hard ,de*****oat ,blo**ob ,phat a** ,a** f**k.mpg.exe
   • WoW - World of Warcraft FULL + crack.exe
   • Half Life 2 cd key generator + Crack.exe
   • Britney spears - In the zone FULL ALBUM.zip.exe
   • Windows Longhorn full + crack.exe
   • Jenna jameson hard d***y style s*x.avi.exe
   • TJenna jameson hard d***y style s*x.avi.exe

   Ces fichiers sont copies du Malware.

 IRC Propagation:
Il essaye de localiser le répertoire d'installation de mIRC. Il recherche par les chemins suivants:
   • %lecteur système racine%\mirc
   • %lecteur système racine%\mirc32

– Il crée un fichier appelé script.ini afin de propager sa propre copie par IRC.

 Informations divers Connexion Internet:

Il interroge avec le nom:
   • www.google.com

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Daniel Constantin le jeudi 10 août 2006
Description mise à jour par Daniel Constantin le lundi 14 août 2006

Retour . . . .