Nom:Worm/BackNine
La date de la découverte:09/03/2007
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen à élevé
Fichier statique:Oui
Taille du fichier:20.992 Octets
Somme de contrôle MD5:000B5aea832ad9e266b0abe8ac0B757e
Version VDF:6.38.00.23 - vendredi 9 mars 2007
Version IVDF:6.38.00.23 - vendredi 9 mars 2007

 Général Les alias:
   •  Kaspersky: Trojan.Win32.Crypt.ab
   •  F-Secure: Trojan.Win32.Crypt.ab
   •  Bitdefender: Trojan.Ransom.B


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Juste après l'exécution il lance une application windows qui affiche le fenêtre suivante:


 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\recovery.exe
   • %SYSDIR%\kkk.exe


Chiffrement:
Le Malware crée des fichiers nouveaux. Ce sont des versions codées. (P)

On analyse l'archive suivant:
   • %tous les dossiers%

Le nom d'archive correspond au nom du fichier originel. Le nom du format de compression est ajouté:

Voilà le nom du fichier comprimé:
   • *.rwg



Le fichier suivant est créé:

%SYSDIR%\RansomWar.txt Ceci est un fichier texte non malveillant avec le contenu suivant:
   • Dear user,
      some of your files have been encrypted using a quite strong system.
     Now you are scared but I will not ask you for money.
     If you want to get back your files you can do following:
     1) Contact a good antivirus-company that will decrypt them for you
     2) You can send an email to **********@yahoo.com requesting a decryptor program
     3) You can launch your PC trought the window or use a better OS (like linux) :)
     
      RansomWar by [WarGame,eof]

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • run = %SYSDIR%\recovery.exe

 Email Il utilise MAPI (Messaging Application Programming Interface) afin d'envoyer des messages de réponse aux emails stockés dans la boite aux lettres. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est le compte Outlook de l'utilisateur.


Le format des emails:
 


Sujet: You are a very lucky man, read this mail!
Le corps:
   • Hi, you won a big amount of money!!! If you want to know more look at the attachment!
L'attachement:
   • BigCashForYou.exe



L'email ressemble à celui-ci:


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Andrei Gherman le mardi 15 mai 2007
Description mise à jour par Andrei Gherman le mardi 15 mai 2007

Retour . . . .