Nom:Worm/Rindu.D
La date de la découverte:28/08/2007
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen à élevé
Fichier statique:Oui
Taille du fichier:107.008 Octets
Somme de contrôle MD5:85eeb3645837f31308f44f9746c9bc82
Version VDF:6.39.01.79
Version IVDF:6.39.01.082

 Général Méthodes de propagation:
   • Le réseau local
   • Mapped network drives


Les alias:
   •  Mcafee: W32/Ridnu.d
   •  Panda: W32/Ridnu.F.drp


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\logonui.scr
   • %SYSDIR%\MyComp.scr
   • %SYSDIR%\userinit.exe
   • %SYSDIR%\sndvol32.exe
   • %SYSDIR%\calc.exe
   • %SYSDIR%\notepad.exe
   • %SYSDIR%\mspaint.exe
   • C:\MSOCache\dlcache\Lagu.scr
   • C:\MSOCache\dlcache\Gambar.scr
   • C:\MSOCache\dlcache\Film.scr
   • C:\MSOCache\dlcache\Dokumen Penting.scr
   • %PROGRAM FILES%\outlook express.scr
   • %PROGRAM FILES%\winamp.scr
   • %PROGRAM FILES%\Windows Media Player.scr
   • %PROGRAM FILES%\Windows NT\dialer.exe
   • %PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE



Il crée le répertoire suivant:
   • C:\MSOCache\dlcache\



Des sections sont ajoutées aux fichiers suivants.
– A: %SYSDIR%\dllcache\userinit.exe Avec le contenu suivant:
   • %le fichier exécuté%

– A: %SYSDIR%\dllcache\sndvol32.exe Avec le contenu suivant:
   • %le fichier exécuté%

– A: %SYSDIR%\dllcache\calc.exe Avec le contenu suivant:
   • %le fichier exécuté%

– A: %SYSDIR%\dllcache\notepad.exe Avec le contenu suivant:
   • %le fichier exécuté%

– A: %SYSDIR%\dllcache\mspaint.exe Avec le contenu suivant:
   • %le fichier exécuté%

– A: %SYSDIR%\dllcache\iexplore.exe Avec le contenu suivant:
   • %le fichier exécuté%




Il écrase un fichier.
%PROGRAM FILES%

Terminaison du fichier :
   • *.exe

Avec le contenu suivant:
   • %le fichier exécuté%




Il copie les fichiers suivants:
    •  %SYSDIR%\userinit.exe en %SYSDIR%\dllcache\userinit.exe
    •  %SYSDIR%\sndvol32.exe en %SYSDIR%\dllcache\sndvol32.exe
    •  %SYSDIR%\calc.exe en %SYSDIR%\dllcache\calc.exe
    •  %SYSDIR%\notepad.exe en %SYSDIR%\dllcache\notepad.exe
    •  %SYSDIR%\mspaint.exe en %SYSDIR%\dllcache\mspaint.exe
    •  %PROGRAM FILES%\Internet Explorer\iexplore.exe en %SYSDIR%\dllcache\iexplore.exe



Le fichier suivant est créé:

%WINDIR%\media\suara.mp3

 Registre Les clés de registre suivantes sont changées:

Différents réglages pour Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   L'ancienne valeur:
   • "RegPath"="%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\AdvancedDeulleDo-X"

Différents réglages pour Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   L'ancienne valeur:
   • "UncheckedValue"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "UncheckedValue"=dword:00000000

Différents réglages pour Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\ShowFullPathAddress]
   L'ancienne valeur:
   • "UncheckedValue"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "UncheckedValue"=dword:00000001

Différents réglages pour Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   L'ancienne valeur:
   • "UncheckedValue"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "UncheckedValue"=dword:00000001

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKCU\Software\Policies\Microsoft\Windows\System]
   L'ancienne valeur:
   • "DisableCMD"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableCMD"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   L'ancienne valeur:
   • "FullPathAddress"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "FullPathAddress"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "Shell"="%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "Shell"="Explorer.exe, MyComp.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   L'ancienne valeur:
   • "DisableTaskMgr"="%réglages définis par l'utilisateur%"
     "DisableRegistryTools"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableTaskMgr"="1"
     "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Classes\scrfile]
   L'ancienne valeur:
   • @=""="%réglages définis par l'utilisateur%"
     "NeverShowExt"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • @="File Folder"
     "NeverShowExt"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   L'ancienne valeur:
   • "NoFolderOptions"=%réglages définis par l'utilisateur%
     "NoFind"=%réglages définis par l'utilisateur%
     "NoRun"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NoFolderOptions"=dword:00000001
     "NoFind"=dword:00000001
     "NoRun"=dword:00000001
     

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   L'ancienne valeur:
   • "ShowSuperHidden"=%réglages définis par l'utilisateur%
     "HideFileExt"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "ShowSuperHidden"=dword:00000000
     "HideFileExt"=dword:00000001

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • IPC$\
   • Data.C$\
   • Data.D$\
   • Data.E$\
   • Data.F$\
   • Data.G$\
   • Data.H$\
   • imorxr$\Lagu.scr
   • imorxr$\Gambar.scr
   • imorxr$\Film.scr
   • imorxr$\Dokumen Penting.scr

 Arrêt de processus: Les processus contenant un des titres de fenêtre suivants sont arrêtés:
   • ANTI; TROJAN; SUPPORT; MASTER; WORM; VIRUS; HACK; CRACK; LINUX; AVG;
      GRISOFT; CILLIN; SECURITY; LOCK; ASSOCIAT; SETUP; VAKSIN; UPDATE;
      TEST; XXX; HIDDEN; DEMO; SYSTEM32; AFEE; NORTON; RONTOK; PCMAV; W32;
      BLACK; MACRO; deulledo; TREND; SPERSKY; REGISTRY; COMMAND; KILL;
      NORMAN; FILM; PORNO; SVQj; PROCEXPL


 Informations divers Les partages réseau:
Les partages réseau suivants seront créé:
   • imorxr$\
   • Data.C$\
   • Data.D$\
   • Data.E$\
   • Data.F$\
   • Data.G$\
   • Data.H$\


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Monica Ghitun le lundi 3 septembre 2007
Description mise à jour par Monica Ghitun le mercredi 5 septembre 2007

Retour . . . .