Nom:Worm/Ntech.C
La date de la découverte:08/08/2007
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:20.992 Octets
Version IVDF:6.39.00.221 - mercredi 8 août 2007

 Général Méthode de propagation:
   • Email


Plateformes / Systèmes d'exploitation:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée des fichiers malveillants
   • Il emploie son propre moteur de courrier électronique

 Fichiers  Il crée le répertoire suivant:
   • %WINDIR%\temp\



Il écrase un fichier.
%SYSDIR%\driver\secdrv.sys



Les fichiers suivants sont créés:

%SYSDIR%\driver\runtime.sys Ensuite, il est exécuté après avoir été completment crée. Détecté comme: RKit/Posh.A

%WINDIR%\temp\startdrv.exe Détecté comme: Worm/Ntech.C

%SYSDIR%\driver\runtime2.sys Détecté comme: RKit/Posh.A




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://67.18.114.98/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\%plusieurs chiffres aléatoires%8.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.



Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\driver\runtime2.sys
Employé pour cacher le processus de Gestionnaire des tâches Détecté comme: RKit/Posh.A

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • startdrv"="%WINDIR%\Temp\startdrv.exe"



Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SECDRV\0000\Control\
   ActiveService
   • Secdrv

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME\0000\Control\
   ActiveService
   • runtime

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME2\0000\Control\
   ActiveService
   • runtime2

 Email Il contient un moteur SMTP intégré pour envoyer des emails SPAM. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
Adresses recueillies sur Internet. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il se pourrait qu'il ignore être infecté comme il pourrait ne pas l'être du tout. En outre il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Adresses recueillies de l'Internet.


Sujet:
Un des suivants:
   • A pretty-pretty fly
   • Always ready
   • Anything else?
   • Enjoy with you hard stick
   • Here is it
   • Hot game
   • Hot pictures
   • Joy stick
   • Magic is real
   • Magic stick
   • Something hot
   • Super stick
   • To be or not to be. To be...
   • Very-very magic stick
   • You ask me about this game, Here is it
   • You can...

Le sujet est vide.
Le sujet du message contient des lettres aléatoires.


Corps:
Le corps de l'email est un des suivants:

   • %le substitut 1%, %le substitut 2%!
     
     Funny game. %le substitut 3% fucks %le substitut 4%... In your attachemnt.

   • %le substitut 1%, %le substitut 2%!
     
     Amusing game. %le substitut 3% fucks %le substitut 4%... In your attachemnt.


Continué par un des suivants:

   • Best Regards.

   • Bye.

   • Good Bye.

   • Regards.

   • Thanks.


%le substitut 1% est étendu à un des suivants :
   • Good afternoon
   • Good Day
   • Good evening
   • Good morning
   • Hello
   • Helo
   • Hi


%le substitut 2% est étendu à un des suivants :
   • buddy
   • dear Friend
   • dear
   • friend
   • man
   • old chap


%le substitut 3% est étendu à un des suivants :
   • Angelina Jolie
   • Carrie Ann Moss
   • Lara Croft
   • Nicole Kidman


%le substitut 4% est étendu à un des suivants :
   • Dart Wader
   • Harry Potter
   • Luke Skywalker


Pièce jointe:

La pièce jointe est une archive contenant une copie du virus



L'email pourrait ressembler à un des suivants:



 Porte dérobée Serveur de contact:
Le suivant:
   • 216.195.61.87:2581



Capacités d'accès à distance:
    • Envoyer des e-mails

 La technologie Rootkit – Ses propres fichiers
– Ses propres processus


La méthode utilisée:
    • Caché de Interrupt Descriptor Table (IDT)

Se introduit dans la fonction API suivante: Se introduit dans les fonctions API suivantes:
   • ZwDeleteValueKey
   • ZwEnumerateKey
   • ZwOpenKey
   • ZwSetValueKey

Description insérée par Viktor Graeber le mercredi 8 août 2007
Description mise à jour par Andrei Ivanes le jeudi 9 août 2007

Retour . . . .