Nom:Worm/Scano.U
La date de la découverte:22/06/2006
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:18.084 Octets
Somme de contrôle MD5:a05bcd12683a646af7b4ff59ce555f7a
Version VDF:6.35.00.59
Version IVDF:6.35.00.67 - samedi 24 juin 2006

 Général Méthode de propagation:
   • Email


Les alias:
   •  Mcafee: W32/Areses.h
   •  TrendMicro: WORM_ARESES.R
   •  Sophos: W32/Areses-F
   •  VirusBuster: I-Worm.Scano.T
   •  Eset: Win32/Scano.U
   •  Bitdefender: Win32.Scano.AM@mm


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\csrss.exe



Il se copie dans des fichiers compressés à l'emplacement suivant :
   • %TEMPDIR%\Message.zip




Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://207.46.250.119/g/**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://www.microsoft.com/g/**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://84.22.161.192/s/**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.



Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\services.exe
Il exécute le fichier avec les paramètres suivantes : %WINDIR%\csrss.exe
Employé pour cacher le processus de Gestionnaire des tâches

– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\svchost.exe
Il exécute le fichier avec les paramètres suivantes : %WINDIR%\csrss.exe

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe
   • "Debugger"="%WINDIR%\csrss.exe"



Les valeurs des clés de registre suivantes sont supprimées:

–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\
   PendingFileRenameOperations
–  HKLM\SYSTEM\ControlSet002\Control\Session Manager\BootExecute

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Un des suivants:
   • Приветик, как твои дел?
   • ЙЫЛЙ?
   • Привет, ты где?
   • Привет, напиши мне!!!
   • Привет! Срочно напиши м!
   • не!
   • дешь?
   • Re: напиши мне!
   • Re: Позвони мне!
   • Re: Ты где?
   • Re: Когда ты мне ответиш
   • Re: Как настроение?
   • Re: Где пропадаешь?



Corps:
–  Dans certains cas, il peut être vide.

 
Le corps de l'email est une des lignes:
   • Привет! Я сегодня жду те
   • Сегодня в интернете бу
   • Когда мне напишишь?
   • Приветик!!! Как настроен


Pièce jointe:
Le nom de fichier de l'attachement est un des suivants:
   • Message.zip
   • File.zip
   • Document.zip
   • README.zip
   • Passwords.zip
   • Readme.zip
   • Important.zip
   • New.zip
   • COOL.zip
   • Archive.zip
   • Fotos.zip
   • private.zip
   • confidential.zip
   • secret.zip
   • images.zip
   • your_documents.zip
   • backup.zip

La pièce jointe est une archive contenant une copie du virus

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .adb; .asp; .cfg; .cgi; .mra; .dbx; .dhtm; .eml; .htm; .html; .jsp;
      .mbx; .mdx; .mht; .mmf; .msg; .nch; .ods; .oft; .php; .pl; .sht;
      .shtm; .stm; .tbb; .txt; .uin; .wab; .wsh; .xls; .xml; .dhtml


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • @microsoft; rating@; f-secur; news; update; .qmail; .gif; anyone@;
      bugs@; contract@; feste; gold-certs@; help@; info@; nobody@; noone@;
      0000; Mailer-Daemon@; @subscribe; kasp; admin; icrosoft; support;
      ntivi; unix; bsd; linux; listserv; certific; torvalds@; sopho; @foo;
      @iana; free-av; @messagelab; winzip; google; winrar; samples; spm111@;
      .00; abuse; panda; cafee; spam; pgp; @avp.; noreply; local; root@;
      postmaster@

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Irina Boldea le mercredi 1 novembre 2006
Description mise à jour par Irina Boldea le jeudi 2 novembre 2006

Retour . . . .