Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Scano.Q.1
La date de la dcouverte:04/05/2006
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:18.076 Octets
Somme de contrle MD5:04b6039deb2697853500e520f979c464
Version VDF:6.34.01.36
Version IVDF:6.34.01.37 - jeudi 4 mai 2006

 Gnral Mthode de propagation:
   • Email


Les alias:
   •  Symantec: W32.Beagle.EG@mm
   •  Mcafee: W32/Areses.h
   •  TrendMicro: WORM_ARESES.N
   •  Sophos: W32/Areses-E
   •  VirusBuster: I-Worm.Scano.W
   •  Eset: Win32/Scano.NAH
   •  Bitdefender: Win32.Scano.P@mm


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il tlcharge des fichiers
   • Il emploie son propre moteur de courrier lectronique
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\csrss.exe



Il se copie dans des fichiers compresss l'emplacement suivant :
   • %TEMPDIR%\Message.zip




Il essaie de tlcharger des fichiers:

L'emplacement est le suivant:
   • http://207.46.250.119/g/**********
Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

L'emplacement est le suivant:
   • http://www.microsoft.com/g/**********
Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

L'emplacement est le suivant:
   • http://84.22.161.192/s/**********
Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



Les valeurs des cls de registre suivantes sont supprimes:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Un des suivants:
   • ????????, ??? ???? ????
   • ?????
   • ??????, ?? ????
   • ??????, ?????? ???!!!
   • ??????! ?????? ?????? ?!
   • ??!
   • ?????
   • Re: ?????? ???!
   • Re: ??????? ???!
   • Re: ?? ????
   • Re: ????? ?? ??? ???????
   • Re: ??? ???????????
   • Re: ??? ???????????



Corps:
–  Dans certains cas, il peut tre vide.


Le corps de l'email est une des lignes:
   • ??????! ? ??????? ??? ??
   • ??????? ? ????????? ??
   • ????? ??? ?????????
   • ????????!!! ??? ????????


Pice jointe:
Le nom de fichier de l'attachement est un des suivants:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

La pice jointe est une archive contenant une copie du virus

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %WINDIR%\csrss.exe

    Tous les processus suivants:
   • services.exe
   • svchost.exe


 Dtails de fichier Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Irina Boldea le lundi 28 août 2006
Description mise à jour par Irina Boldea le mardi 29 août 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.