Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Traxgy.B
La date de la dcouverte:30/08/2005
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen lev
Potentiel de destruction:Faible a moyen
Fichier statique:Non
Taille du fichier:57.344 Octets
Version IVDF:6.31.01.196 - mardi 30 août 2005

 Gnral Mthodes de propagation:
   • Email
   • Le rseau local
   • Mapped network drives


Les alias:
   •  Kaspersky: Email-Worm.Win32.Rays
   •  F-Secure: Email-Worm.Win32.Rays
   •  Sophos: W32/Traxg-B
   •  Panda: W32/Vinet.A.worm
   •  Grisoft: I-Worm/Rays.E
   •  Bitdefender: Win32.Rays.H@mm


Plateformes / Systmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre un fichier malveillant
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • A:\Explorer.EXE
   • A:\WINDOWS.EXE
   • %lecteur%:\WINDOWS.EXE
   • %lecteur%:\ghost.bat
   • %tous les dossiers%\%nom de liste actuelle%.exe



Il cre sa propre copie en employant un nom de fichier d'une liste:
A: %WINDIR%\\system\ employant un des noms suivants:
   • %numro hexadcimal%.com

A: %WINDIR%\fonts\ employant un des noms suivants:
   • %numro hexadcimal%.com

A: %WINDIR%\\temp\ employant un des noms suivants:
   • %numro hexadcimal%.com

A: %WINDIR%\help\ employant un des noms suivants:
   • \%numro hexadcimal%.com




Les fichiers suivants sont crs:

Fichier inoffensif:
   • %tous les dossiers%\desktop.ini

A:\NetHood.htm Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: VBS/Zapchast.B

%lecteur%:\NetHood.htm Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: VBS/Zapchast.B

%tous les dossiers%\folder.htt Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: VBS/Zapchast.B

 Registre On ajoute une des valeurs suivantes afin de lancer le processus aprs le redmarrage:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • TempCom = %WINDIR%\\system\%numro hexadcimal%.com
   • TempCom = %WINDIR%\fonts\%numro hexadcimal%.com
   • TempCom = %WINDIR%\\temp\%numro hexadcimal%.com
   • TempCom = %WINDIR%\help\%numro hexadcimal%.com



La valeur de la cl de registre suivante est supprime:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • KaV300XP



Les cls de registre suivantes sont changes:

Diffrents rglages pour Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   L'ancienne valeur:
   • fullpath = %rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • fullpath = dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   L'ancienne valeur:
   • HideFileExt = %rglages dfinis par l'utilisateur%
   • Hidden = %rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • HideFileExt = dword:00000001
   • Hidden = dword:00000000

 Email Il utilise MAPI (Messaging Application Programming Interface) afin d'envoyer des messages. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est le compte Outlook de l'utilisateur.


A:
 les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Le suivant:
   • %texte chinois%



Corps:
Le corps de l'email est le suivant:
   • %texte chinois% Document.exe %texte chinois%


Pice jointe:
Le nom de fichier de l'attachement est:
   • Document.exe

L'attachement est une copie du malware lui-mme.



L'email ressemble celui-ci:


 Dtails de fichier Langage de programmation:
Le fichier a t crit en Visual Basic.

Description insérée par Andrei Gherman le vendredi 21 septembre 2007
Description mise à jour par Andrei Gherman le vendredi 21 septembre 2007

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.