Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Womble.D
La date de la dcouverte:12/09/2006
Type:Ver
En circulation:Oui
Infections signales Faible a moyen
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:83.456 Octets
Somme de contrle MD5:a7eed18c21897e50bbe167b8f438b9af
Version VDF:6.35.01.212
Version IVDF:6.35.01.216 - mardi 12 septembre 2006

 Gnral Mthodes de propagation:
   • Email
   • Le rseau local


Les alias:
   •  Symantec: W32.Womble.A@mm
   •  Mcafee: W32/Womble@MM
   •  Kaspersky: Email-Worm.Win32.Womble.d
   •  F-Secure: Email-Worm.Win32.Womble.d


Plateformes / Systmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il tlcharge des fichiers malveillants
   • Il emploie son propre moteur de courrier lectronique
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\%mots alatoires%.exe



Il cre les rpertoires suivants:
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\dvd_info
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\free
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\h_core
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\l_this
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\lunch
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\my_staff
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_mp3
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_video
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\photo
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\sh_docs
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\take_it
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\video
   • %HOME%\Local Settings\Application Data\Microsoft\WinTools\xxx



Il cre sa propre copie en employant un nom de fichier des listes:
A: %HOME%\Local Settings\Application Data\Microsoft\WinTools\dvd_info employant un des noms suivants:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

A: %HOME%\Local Settings\Application Data\Microsoft\WinTools\free employant un des noms suivants:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

A: %HOME%\Local Settings\Application Data\Microsoft\WinTools\h_core employant un des noms suivants:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

A: %HOME%\Local Settings\Application Data\Microsoft\WinTools\l_this employant un des noms suivants:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

A: %HOME%\Local Settings\Application Data\Microsoft\WinTools\lunch employant un des noms suivants:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

A: %HOME%\Local Settings\Application Data\Microsoft\WinTools\my_staff employant un des noms suivants:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

A: %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_mp3 employant un des noms suivants:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

A: %HOME%\Local Settings\Application Data\Microsoft\WinTools\new_video employant un des noms suivants:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

A: %HOME%\Local Settings\Application Data\Microsoft\WinTools\photo employant un des noms suivants:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

A: %HOME%\Local Settings\Application Data\Microsoft\WinTools\sh_docs employant un des noms suivants:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

A: %HOME%\Local Settings\Application Data\Microsoft\WinTools\take_it employant un des noms suivants:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

A: %HOME%\Local Settings\Application Data\Microsoft\WinTools\video employant un des noms suivants:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

A: %HOME%\Local Settings\Application Data\Microsoft\WinTools\xxx employant un des noms suivants:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif

A: c:\system32\ employant un des noms suivants:
   • winupdate.exe
   • netupdate.exe
   • winlog.exe
   • winlogin.exe

A: % liste du rseau utilis en commun% employant un des noms suivants:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

   • .doc
   • .jpg
   • .txt

   • .exe
   • .pif





Il essaie de tlcharger des fichiers:

L'emplacement est le suivant:
   • support.365soft.info/current/**********
Ce fichier peut contenir d'autres emplacements de tlchargement et pourrait servir comme source de nouvelles menaces.

L'emplacement est le suivant:
   • support.365soft.info/current/**********
Ce fichier peut contenir d'autres emplacements de tlchargement et pourrait servir comme source de nouvelles menaces.

L'emplacement est le suivant:
   • support.365soft.info/current/**********
Ce fichier peut contenir d'autres emplacements de tlchargement et pourrait servir comme source de nouvelles menaces.

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • windows_startup=%SYSDIR%\%mots alatoires%.exe



Les cls de registre suivantes sont ajoute:

[HKLM\SOFTWARE\WinUpdate]
   • "Version"=dword:00000004

[HKLM\SOFTWARE\WinUpload]
   • "bot1.exe"=dword:00000002
   • "bot2.exe"=dword:00000002
   • "l.exe"=dword:00000002
   • "t169.exe"=dword:00000002

[HKCU\Software\Microsoft\WAB\WAB4]
   • "FirstRun"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion]
   • "wmf.1.1"=dword:01c6db12
   • "wmf.1.2"=dword:e8fc9740



Les cls de registre suivantes sont changes:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   • "Userinit"="%SYSDIR%\userinit.exe"
   La nouvelle valeur:
   • "Shell"="Explorer.exe%espaces vides% %SYSDIR%\%mots alatoires%.exe"
   • "Userinit"="%SYSDIR%\userinit.exe%espaces vides% ,%SYSDIR%\%mots alatoires%.exe"

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est le compte Outlook de l'utilisateur.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Un des suivants:
   • !!; Action Bush; FIFA; Helo; Hi; important; Incredible!!; info; Kiss;
      Laura; Laura and John; Lola; Look at this!!!; Miss Khan; Nataly; Ola;
      Olympus; Paula; pic; pics; private; private pics; Re:; Re: hi;
      Re:info; RE: pic; read this; Robert; Sex



Corps:
Le corps de l'email est le suivant:

   • Hi !!!
     
     %chane de caractres alatoire%
     
     %chane de caractres alatoire%
     --
     
     Best Regards


Pice jointe:
Les noms de fichier des attachements sont construits de ce qui suit:

–  Il commence avec un des suivants:
   • bush
   • Me
   • My passwords
   • MyWife
   • Seduction secrets
   • MySexMovie
   • MySexPicture
   • WallPaper
   • anna
   • Windows serial number
   • GoogleHack
   • OurNewCar
   • OurNewHouse

Continu par un des suivants:
   • .jpg
   • .doc
   • .txt

    Parfois continue par un des suivants:
   • .pif
   • .exe
   • .zip
   • .pif.zip
   • .exe.zip

L'attachement est une copie du malware lui-mme.



L'email pourrait ressembler un des suivants:



 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.


La vulnrabilit:
Il se sert des vulnrabilits suivantes:
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

 Porte drobe Serveur de contact:
Tous les suivants:
   • support.365soft.info/current/**********
   • support.365soft.info/current/**********
   • support.software602.com/current/**********
   • support.software602.com/current/**********
   • anyproxy.net/current/**********
   • anyproxy.net/current/**********
   • support.enviroweb.org/current/**********
   • support.enviroweb.org/current/**********
   • support.nikontech.com/current/**********
   • support.nikontech.com/current/**********
   • mymail.100hotmail.com/current/**********
   • mymail.100hotmail.com/current/**********
   • server1.mymail.ph/current/**********
   • server1.mymail.ph/current/**********
   • mymail.bokee.com/current/**********
   • mymail.bokee.com/current/**********
   • mail.96520.org/current/**********
   • mail.96520.org/current/**********
   • 211.184.55.7/current/**********
   • 211.184.55.7/current/**********
   • update.snowsoft.co.kr/current/**********
   • update.snowsoft.co.kr/current/**********
   • update.wwwmail.org/current/**********
   • update.wwwmail.org/current/**********
   • update.mediaroz.com/current/**********
   • update.mediaroz.com/current/**********
   • update.co.tv/current/**********
   • update.co.tv/current/**********
   • www.3btasarim.com/current/**********
   • www.3btasarim.com/current/**********
   • baishui.info/current/**********
   • baishui.info/current/**********
   • jiji.2tw.info/current/**********
   • jiji.2tw.info/current/**********

En consquence il peut envoyer de l'information. Ceci est fait par l'intermdiaire de la requte HTTP GET du script PHP.


Il envoie de l'information au sujet de:
     Le statut courant du malware

 Vol d'informations Il essaie de voler l'information suivante:
 Des informations sur le compte d'email, obtenues de la cl de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

 Informations divers Connexion Internet:
Afin de vrifier sa connexion Internet, les serveurs DNS suivants sont contacts
   • *.GTLD-SERVERS.net
   • *.lan.tjhsst.edu


Il vrifie l'existence d'une connexion Internet en contactant le site web suivant:
   • www.sun.com/index.html


Mutex:
Il cre le Mutex suivant:
   • wmf.mtx.4

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Adriana Popa le vendredi 15 septembre 2006
Description mise à jour par Adriana Popa le lundi 18 septembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.