Nom:Worm/Womble.A
La date de la découverte:29/08/2006
Type:Ver
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:79.360 Octets
Version VDF:6.35.01.156
Version IVDF:6.35.01.159 - mercredi 30 août 2006
L'heuristique:HEUR/Crypted.Patched

 Général Méthodes de propagation:
   • Email
   • Le réseau local


Les alias:
   •  Symantec: W32.Womble.A@mm
   •  Kaspersky: Email-Worm.Win32.Womble.a
   •  TrendMicro: WORM_WOMBLE.A
   •  Sophos: W32/Womble-B
   •  VirusBuster: iworm I-Worm.Womble.A
   •  Bitdefender: Win32.Womble.A@mm


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur




   %text1%:
   -about_windows
   -antispam
   -congratulations
   -firefox_update
   -free_anti_spyware
   -free_antivirus
   -google_info
   -google_tool
   -google_update
   -ie_update
   -java_update
   -inet
   -mail_control
   -mails_list
   -ms_office_update
   -net_update
   -new_picture
   -new_win_patch
   -picture
   -remove_spyware
   -some_info
   -www
   -yahoo_info
   -yahoo_tool
   -your_friends
   
   %text2%:
   -dvd
   -dvd_info
   -free
   -h_core
   -l_this
   -lunch
   -mp3
   -new_mp3
   -new_video
   -photo
   -sh_docs
   -take_it
   -video
   -xxx

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\%le fichier exécuté%
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.exe
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.pif
   • \\%ordinateurs dans le domaine actuel%\% liste du réseau utilisé en commun%\%text1%.exe
   • \\%ordinateurs dans le domaine actuel%\% liste du réseau utilisé en commun%\%text1%.pif



Les fichiers suivants sont créés:

– %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.wmf Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: EXP/MS06-001.WMF

– %HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%\%text1%.jpg Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: EXP/MS06-001.WMF

– \\%ordinateurs dans le domaine actuel%\% liste du réseau utilisé en commun%\%text1%.wmf Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: EXP/MS06-001.WMF

– \\%ordinateurs dans le domaine actuel%\% liste du réseau utilisé en commun%\%text1%.jpg Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: EXP/MS06-001.WMF

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe %espaces vides% %SYSDIR%\%le fichier exécuté%"
   • "Userinit"="%SYSDIR%\userinit.exe %espaces vides% ,%SYSDIR%\%le fichier exécuté%"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ms_net_update"="%SYSDIR%\%le fichier exécuté%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ms_net_update"="%SYSDIR%\%le fichier exécuté%"



Les clés de registre suivantes sont ajoutée:

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares]
   • "%text2%"=
"CSCFlags=0
MaxUses=1000
Path=%HOME%\Local Settings\Application Data\Microsoft\WinTools\%text2%
Permissions=127
Type=0"

– [HKLM\SOFTWARE\WinUpdate]
   • "Version"=dword:00000003

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est le compte Outlook de l'utilisateur.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Un des suivants:
   • !!; Action; Bush; FIFA; Helo; Hi; important; Incredible!!; info; Kiss;
      Laura; Laura and John; Lola; Look at this!!!; Miss Khan; Nataly; Ola;
      Olympus; Paula; pic; pics; private; private pics; Re:; Re: hi; Re:
      info; RE: pic; read this; Robert; Sex



Corps:
Le corps de l'email est un des suivants:

   • ---------------------------------------------------
     
     There is some info in the attached file !!!
     
     ---------------------------------------------------
     

   • -----------------------------
     
     Zip P A S S : %chaîne de caractères aléatoire de neuf digits%
     
     -----------------------------
     


Pièce jointe:
Les noms de fichier des attachements sont construits de ce qui suit:

–  Il commence avec un des suivants:
   • %text%

Continué par un des suivants:
   • exe
   • pif

   • zip

–  Il commence avec un des suivants:
   • %text1%

Continué par un des suivants:
   • exe
   • jpg
   • pif
   • wmf

   • passw
   • psw

    Continué par une des extensions fausses suivantes :
   • zip

La pièce jointe est une archive contenant une copie du virus

L'attachement est une copie du fichier créé: %text1%.jpg; %text1%.wmf



L'email pourrait ressembler à un des suivants:



 Porte dérobée Serveur de contact:
Tous les suivants:
   • http://support.365soft.info/**********
   • http://support.365soft.info/**********
   • http://support.software602.com/**********
   • http://support.software602.com/**********
   • http://anyproxy.net/**********
   • http://anyproxy.net/**********
   • http://support.enviroweb.org/**********
   • http://support.enviroweb.org/**********
   • http://support.nikontech.com/**********
   • http://support.nikontech.com/**********
   • http://email-support.seekful.com/**********
   • http://email-support.seekful.com/**********
   • http://mymail.100hotmail.com/**********
   • http://mymail.100hotmail.com/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.


Il envoie de l'information au sujet de:
    • Le statut courant du malware


Capacités d'accès à distance:
    • Télécharger un fichier

 Informations divers Connexion Internet:
Afin de vérifier sa connexion Internet, les serveurs DNS suivants sont contactés
   • *.GTLD-SERVERS.net
   • *.root-servers.net
   • *.DE.NET
   • *.NIC.DE


Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • http://www.sun.com/index.html


Mutex:
Il crée le Mutex suivant:
   • wmf.mtx.3

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Andrei Ivanes le mardi 29 août 2006
Description mise à jour par Andrei Ivanes le jeudi 31 août 2006

Retour . . . .