Nom:Worm/Traxgy.B
La date de la découverte:30/08/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Faible a moyen
Fichier statique:Non
Taille du fichier:57.344 Octets
Version IVDF:6.31.01.196 - mardi 30 août 2005

 Général Méthodes de propagation:
   • Email
   • Le réseau local
   • Mapped network drives


Les alias:
   •  Kaspersky: Email-Worm.Win32.Rays
   •  F-Secure: Email-Worm.Win32.Rays
   •  Sophos: W32/Traxg-B
   •  Panda: W32/Vinet.A.worm
   •  Grisoft: I-Worm/Rays.E
   •  Bitdefender: Win32.Rays.H@mm


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier malveillant
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • A:\Explorer.EXE
   • A:\WINDOWS.EXE
   • %lecteur%:\WINDOWS.EXE
   • %lecteur%:\ghost.bat
   • %tous les dossiers%\%nom de liste actuelle%.exe



Il crée sa propre copie en employant un nom de fichier d'une liste:
– A: %WINDIR%\\system\ employant un des noms suivants:
   • %numéro hexadécimal%.com

– A: %WINDIR%\fonts\ employant un des noms suivants:
   • %numéro hexadécimal%.com

– A: %WINDIR%\\temp\ employant un des noms suivants:
   • %numéro hexadécimal%.com

– A: %WINDIR%\help\ employant un des noms suivants:
   • \%numéro hexadécimal%.com




Les fichiers suivants sont créés:

– Fichier inoffensif:
   • %tous les dossiers%\desktop.ini

– A:\NetHood.htm Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: VBS/Zapchast.B

%lecteur%:\NetHood.htm Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: VBS/Zapchast.B

%tous les dossiers%\folder.htt Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: VBS/Zapchast.B

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • TempCom = %WINDIR%\\system\%numéro hexadécimal%.com
   • TempCom = %WINDIR%\fonts\%numéro hexadécimal%.com
   • TempCom = %WINDIR%\\temp\%numéro hexadécimal%.com
   • TempCom = %WINDIR%\help\%numéro hexadécimal%.com



La valeur de la clé de registre suivante est supprimée:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • KaV300XP



Les clés de registre suivantes sont changées:

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   L'ancienne valeur:
   • fullpath = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • fullpath = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   L'ancienne valeur:
   • HideFileExt = %réglages définis par l'utilisateur%
   • Hidden = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • HideFileExt = dword:00000001
   • Hidden = dword:00000000

 Email Il utilise MAPI (Messaging Application Programming Interface) afin d'envoyer des messages. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est le compte Outlook de l'utilisateur.


A:
– les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Le suivant:
   • %texte chinois%



Corps:
Le corps de l'email est le suivant:
   • %texte chinois% Document.exe %texte chinois%


Pièce jointe:
Le nom de fichier de l'attachement est:
   • Document.exe

L'attachement est une copie du malware lui-même.



L'email ressemble à celui-ci:


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.

Description insérée par Andrei Gherman le vendredi 21 septembre 2007
Description mise à jour par Andrei Gherman le vendredi 21 septembre 2007

Retour . . . .