Nom:Worm/Tutiam.A
La date de la découverte:24/07/2006
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:143.360 Octets
Somme de contrôle MD5:9f2b1ee9a59f56a91a0Ca7b25458e589
Version VDF:6.35.00.180
Version IVDF:6.35.00.220

 Général Méthodes de propagation:
   • Email
   • Le réseau local


Les alias:
   •  Symantec: W32.Miti@mm
   •  Kaspersky: IRC-Worm.Win32.Tutiam.a
   •  TrendMicro: WORM_TUTIAM.A
   •  VirusBuster: Worm.Tutiam.A
   •  Bitdefender: Dropped:Win32.Worm.Tamiami.A


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il crée un fichier malveillant
   • Il modifie des registres


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\strangler.exe
   • %WINDIR%\Tamiami.wrd
   • %WINDIR%\tamweb\Pictures.exe



Il crée les répertoires suivants:
   • %WINDIR%\tammail
   • %WINDIR%\tamweb



Une section est ajoutée à un fichier.
– A: %lecteur%:\*.zip Avec le contenu suivant:
   • SourceCode.exe
     Addons_ENG.exe
     Pictures.exe
     Licence.exe
     ReadMe.exe
     Install.exe
     Quellcode.exe
     Addons.exe
     Bilder.exe
     Lizenz.exe
     LiesMich.exe
     Installation.exe
     (%le fichier exécuté%)




Les fichiers suivants sont créés:

%WINDIR%\tamver.sys
%WINDIR%\Tamiami.vbs
%WINDIR%\tamweb\index.htm Détecté comme: Worm/Tamiami.A

%WINDIR%\Tamiami.mrc

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Tamiami"="%WINDIR%\strangler.exe"



La clé de registre suivante est ajoutée:

– [HKCU\Identities\%dépendant du système%\Software\
   Microsoft\Outlook Express\5.0\Mail]
   • "Warn on Mapi Send"=dword:00000000



Les clés de registre suivantes sont changées:

Désactive le Pare-feu du Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   La nouvelle valeur:
   • "Start"=dword:00000004

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: irc.quake**********
Port: 6667
Le mot de passe du serveur: %chaîne de caractères aléatoire de huit digits%
Canal: #tamiami
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: strangler

Serveur: quakenet.under**********
Port: 6667
Le mot de passe du serveur: %chaîne de caractères aléatoire de huit digits%
Canal: #tamiami
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: strangler

Serveur: irc.efn**********
Port: 6667
Le mot de passe du serveur: %chaîne de caractères aléatoire de huit digits%
Canal: #tamiami
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: strangler

Serveur: icr.under**********
Port: 6667
Le mot de passe du serveur: %chaîne de caractères aléatoire de huit digits%
Canal: #tamiami
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: strangler

Serveur: eu.under**********
Port: 6667
Le mot de passe du serveur: %chaîne de caractères aléatoire de huit digits%
Canal: #tamiami
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: strangler

Serveur: us.under**********
Port: 6667
Le mot de passe du serveur: %chaîne de caractères aléatoire de huit digits%
Canal: #tamiami
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: strangler

Serveur: port80c.se.quake**********
Port: 6667
Le mot de passe du serveur: %chaîne de caractères aléatoire de huit digits%
Canal: #tamiami
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: strangler


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • se déconnecter du serveur IRC
    • Joindre le canal IRC
    • Démarrer une routine de propagation

 Informations divers  Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • http://update.microsoft.com


Mutex:
Il crée le Mutex suivant:
   • Worm.Tamiami v1.3.2 by DiA/RRLF

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.

Description insérée par Monica Ghitun le lundi 24 juillet 2006
Description mise à jour par Andrei Ivanes le lundi 27 novembre 2006

Retour . . . .