Nom:Worm/Agent.184320
La date de la découverte:10/10/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:298.528 Octets
Somme de contrôle MD5:8a1b5f56799b7bcc1751055e93c933a8
Version VDF:6.36.01.54
Version IVDF:6.36.01.57 - lundi 20 novembre 2006

 Général Méthode de propagation:
   • Email


Les alias:
   •  Kaspersky: Virus.Win32.VB.bp
   •  TrendMicro: WORM_VB.BOE
   •  Sophos: W32/Rungbu-B


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il crée un fichier
   • Il crée un fichier malveillant
   • Il modifie des registres


Juste après l'exécution il lance une application windows qui affiche le fenêtre suivante:


 Fichiers Il s'autocopie dans les emplacements suivants:
   • C:\lsass.exe
   • %SYSDIR%\dllhost.com
   • %WINDIR%\setup\dllhost.com
   • %HOME%\My Documents\Rated R Pictures.com
   • %WINDIR%\lsass.exe.exe
   • %WINDIR%\AutoRun.ini
   • %WINDIR%\MsWord.exe
   • %PROGRAM FILES%\philconst.exe
   • %WINDIR%\Downloaded Program Files\philconst.exe
   • %fichier éliminé%.scr



Il crée le répertoire suivant:
   • %HOME%\My Documents\Rated R Pictures



Il supprime les fichiers qui contient une des chaînes de caractères suivantes:
   • .doc
   • .rtf



Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %malware executiondirectory%\%le fichier exécuté%.doc
   • %WINDIR%\OUTSETTN.REG

%PROGRAM FILES%\microsoft frontpage\outlook.vbs Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: HEUR/Worm.Outlook.VBS

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run
   • @="%SYSDIR%\dllhost.com"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • @="\lsass.exe"
   • "WinRun"="%WINDIR%\AutoRun.ini"



Les clés de registre suivantes sont ajoutée:

– HKCR\datfile\shell\open\command
   • @="\"%WINDIR%\setup\dllhost.com\" %1"

– KEY_CLASSES_ROOT\artfile\shell\open\command
   • @="\"%WINDIR%\setup\dllhost.com\" %1"

– HKCR\piffile\shell\open\command
   • @="\"%WINDIR%\setup\dllhost.com\" %1"

– HKCR\AVIFile\shell\open\command
   • @="\"%WINDIR%\setup\dllhost.com\" %1"

– HKCR\exefile
   • "NeverShowExt"=""

– HKCR\scrfile
   • @="Microsoft Word Document"
   • "NeverShowExt"=""

– HKCR\batfile
   • "NeverShowExt"=""

– HKCR\comfile
   • @="File Folder"

– HKCR\comfile\DefaultIcon
   • @=%SystemRoot%\System32\shell32.dll,3

– HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\MSCrusher
   • "command"="shutdown -s -f -t 0"
   • "hkey"="HKCR"
   • "inimapping"="0"
   • "item"="Shutdowm"
   • "key"="batfile\\shell\\edit\\command"

– HKLM\SOFTWARE\Microsoft\Windows\System\DarkAngel
   • "Expiration-Bug"="3011"

– HKCR\batfile\shell\edit\command
   • @="shutdown -s -f -t 0"

– HKCR\inifile\shell\open\command
   • @="%1" %*"

– HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
   • "ActiveTimeBias"=dword:ffffff88



Les clés de registre suivantes sont changées:

Différents réglages pour Explorer:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
   L'ancienne valeur:
   • "NoFolderOptions"=dword:00000000
   • "NoRun"=dword:00000000
   La nouvelle valeur:
   • "NoFolderOptions"=dword:00000001
   • "NoRun"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideFileExt
   La nouvelle valeur:
   • "CheckedValue"=dword:00000001

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   L'ancienne valeur:
   • "DisableRegistryTools"=dword:00000000
   La nouvelle valeur:
   • "DisableRegistryTools"=dword:00000001

 Email De:
L'adresse de l'expéditeur est le compte Outlook de l'utilisateur.


A:
– les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Le suivant:
   • Read my letter for you



Corps:
Le corps de l'email est le suivant:
   • this was created from the deep inside my heart.


Pièce jointe:

L'attachement est une copie du malware lui-même.

 Arrêt de processus: La liste des processus qui sont terminés:
   • explorer.exe; avgctrl.exe; avgamsvr.exe; avgserv.exe; avginet.exe;
      avgupsvc.exe; avgemc.exe; avgnt.exe; avgregcl.exe; avgserv9.exe;
      avgw.exe; alogserv.exe; avsynmgr.exe; Mpfsheild.exe; MpfAgent.exe;
      mpf.exe; MpfConsole.exe; mcagent.exe; mcappins.exe; McDash.exe;
      mcdetect.exe; mcinfo.exe; mcmnhdlr.exe; mcshield.exe; mctskshd.exe;
      mcupdate.exe; mcvsescn.exe; mcvsshld.exe; mcvsftsn.exe; mcvsrte.exe;
      vstskmgr.exe; vsmain.exe; vshwin32.exe; pccpfw.exe; pccclient.exe;
      pcclient.exe; pccguide.exe; pccnt.exe; pccntmon.exe; pccntupd.exe;
      PcCtlCom.exe; pcscan.exe; avpm.exe; avpcc.exe; kav.exe; kavmm.exe;
      kavsvc.exe; AVENGINE.EXE; nisserv.exe; NISUM.exe; Navapsvc.exe;
      NMain.exe; Navapw32.exe; VetMsg.exe; VetTray.exe; Vet32.exe;
      VetNT.exe; vsmon.exe; zlclient.exe; zapro.exe; zonealarm.exe;
      APVXDWIN.EXE; AVLITE.EXE; AVLTMAIN.EXE; AVTASK.EXE; LUPGCONF.EXE;
      PAVSRV51.EXE; PavPrSrv.exe


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Bogdan Iliuta le mercredi 8 novembre 2006
Description mise à jour par Bogdan Iliuta le mercredi 22 novembre 2006

Retour . . . .