Nom:Worm/TermX.A
La date de la découverte:14/05/2007
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:186.166 Octets
Somme de contrôle MD5:09b5dc62a921a88153cd34b08716b479
Version VDF:6.38.01.136
Version IVDF:6.38.01.142 - mardi 15 mai 2007

 Général Méthode de propagation:
   • Programme de messagerie


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\svhost32.exe




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://bestwish.info**********
Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Au moment de l'analyse, ceci était déjà une nouvelle version de Malware

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Task Manager"="%WINDIR%\svhost32.exe"



Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Google\GoogleToolbarNotifier]
   • "KeepDS"=dword:00000000
   • "ShowTrayIcon"=dword:00000000

– [HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast]
   • "content url"="http://bestwish.info/**********"

– [HKCU\Software\Yahoo\pager\View\YMSGR_buzz]
   • "content url"="http://bestwish.info/**********"



Les clés de registre suivantes sont changées:

La page de démarrage d'Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   La nouvelle valeur:
   • "Search Page"="http://bestwish.info/**********"
   • "Start Page"="http://bestwish.info/**********"

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   La nouvelle valeur:
   • "DisableRegistryTools"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   La nouvelle valeur:
   • "NoRun"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   La nouvelle valeur:
   • "DisableConfig"="1"

– [HKCU\Software\Microsoft\Internet Explorer\SearchUrl]
   La nouvelle valeur:
   • "(Default)"="http://bestwish.info/**********"

– [HKCU\Software\Microsoft\Search Assistant]
   La nouvelle valeur:
   • "DefaultSearchURL"="http://bestwish.info/**********"

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– AIM Messenger
– ICQ Messenger
– Windows Live Messenger
– Yahoo Messenger
– Windows Messenger


A:
Tous les entrés de la liste de contacts:


Message
Le message envoyé ressemble à un des suivants:

   • c’est ma carte de voeux de Noel que j’ai fait seulement pour toi http://bestwish.info/********** ^_^

   • Microsoft donne 2007 copies gratuits de Windows Vista pour 2007 premieres inscriptions : http://bestwish.info/********** >:D< est envoyé par %le nom d'utilisateur courant% pas de virus

   • vote pour notre Miss de beauté aujourd’hui :x " http://bestwish.info/********** :x:x:x:x:x est envoyé par %le nom d'utilisateur courant% pas de virus

   • the only way to clean some online viruses that may lead you into troubles : http://bestwish.info/********** << est envoyé par %le nom d'utilisateur courant% pas de virus

   • Joyeux Noel et Bonne année !!! http://bestwish.info/********** <<

   • l’entrainneur de Chelsea est gravement blessé par Gallad http://bestwish.info/********** est envoyé par %le nom d'utilisateur courant% pas de virus

   • Attention!!! Il y aura un tremblement de terre ce soir : http://bestwish.info/********** est envoyé par %le nom d'utilisateur courant% pas de virus

   • J’ai fait 10 cadeaux pour les 10 premieres personnes qui commentent sur mon site web : http://bestwish.info/********** c0ol !!! est envoyé par %le nom d'utilisateur courant% pas de virus

   • you are virus infected . Use this tool to remove viruses from your PC : http://bestwish.info/********** << est envoyé par %le nom d'utilisateur courant% pas de virus

   • Enculé !!! http://bestwish.info/********** X-(

   • Osama Bin Laden est arreté http://bestwish.info/********** est envoyé par %le nom d'utilisateur courant% pas de virus

   • Creer les bombs hyper forts avec Whisky, Coke et Mentos http://bestwish.info/********** est envoyé par %le nom d'utilisateur courant% pas de virus

   • J'ai gagne au LOTO: http://bestwish.info/********** Viens feter chez moi !!!


Le message reçu aurait l'air du message suivant:


 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Ernest Szocs le lundi 14 mai 2007
Description mise à jour par Ernest Szocs le mardi 15 mai 2007

Retour . . . .