Description complète

Nom:	Worm/Tearec.A
La date de la découverte:	12/10/2006
Type:	Ver
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Moyen à élevé
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	94.154 Octets
Somme de contrôle MD5:	1c237c5af9c4c344eaac451b2ef5459c
Version VDF:	6.36.00.97
Version IVDF:	6.36.00.113 - lundi 16 octobre 2006

Général Méthodes de propagation:
   • Email
   • Le réseau local

Les alias:
   • Kaspersky: Email-Worm.Win32.Nyxem.e
   • TrendMicro: WORM_NYXEM.AA
   • F-Secure: Email-Worm.Win32.Nyxem.e
   • Sophos: W32/Nyxem-H
   • Panda: W32/Tearec.B.worm
   • Eset: Win32/Nyxem.NAA worm
   • Bitdefender: Win32.Nyxem.H@mm

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il emploie son propre moteur de courrier électronique
   • Il diminue les réglages de sécurité
   • Il modifie des registres

Immédiatement après l'exécution l'information suivante est affichée:

Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\Rundll16.exe
   • %SYSDIR%\scanregw.exe
   • C:\WINZIP_TMP.exe
   • %SYSDIR%\Update.exe
   • %SYSDIR%\Winzip.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

Il écrase les fichiers suivants.
La synchronisation de temps est inclue dans le code du virus et elle sera activée au moment suivant : Si le jour a la valeur suivante: 3

– %tous les dossiers%

Terminaison des fichiers :
   • .HTM
   • .DBX
   • .EML
   • .MSG
   • .OFT
   • .NWS
   • .VCF
   • .MBX

Avec le contenu suivant:
   • DATA Error [47 0F 94 93 F4 K5]

Il supprime les fichiers suivants:
   • %PROGRAM FILES%\DAP\*.dll
   • %PROGRAM FILES%\BearShare\*.dll
   • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
   • %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
   • %PROGRAM FILES%\Norton AntiVirus\*.exe
   • %PROGRAM FILES%\Alwil Software\Avast4\*.exe
   • %PROGRAM FILES%\McAfee.com\VSO\*.exe
   • %PROGRAM FILES%\McAfee.com\Agent\*.*
   • %PROGRAM FILES%\McAfee.com\shared\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
   • %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
   • %PROGRAM FILES%\NavNT\*.exe
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
   • %PROGRAM FILES%\Grisoft\AVG7\*.dll
   • %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
   • %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
   • %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
   • %PROGRAM FILES%\Morpheus\*.dll
   • %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
   • %PROGRAM FILES%\Common Files\symantec shared\*.*
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
   • %PROGRAM FILES%\McAfee.com\Agent\*.*
   • %PROGRAM FILES%\McAfee.com\shared\*.*
   • %PROGRAM FILES%\McAfee.com\VSO\*.*
   • %PROGRAM FILES%\NavNT\*.*
   • %PROGRAM FILES%\Norton AntiVirus\*.*
   • %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
   • %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
   • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
   • %PROGRAM FILES%\Trend Micro\Internet Security\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ScanRegistry = "scanregw.exe /scan"

Les valeurs des clés de registre suivantes sont supprimées:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • CleanUp
   • SECUR
   • NPROTECT
   • ccApp
   • ScriptBlocking
   • MCUpdateExe
   • VirusScan Online
   • MCAgentExe
   • VSOCheckTask
   • McRegWiz
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • McVsRte
   • PCClient.exe
   • PCCIOMON.exe
   • pccguide.exe
   • Pop3trap.exe
   • PccPfw
   • tmproxy
   • McAfeeVirusScanService
   • NAV Agent
   • PCCClient.exe
   • SSDPSRV
   • rtvscn95
   • defwatch
   • vptray
   • ScanInicio
   • APVXDWIN
   • KAVPersonal50
   • kaspersky
   • TM Outbreak Agent
   • AVG7_Run
   • AVG_CC
   • Avgserv9.exe
   • AVGW
   • AVG7_CC
   • AVG7_EMC
   • Vet Alert
   • VetTray
   • OfficeScanNT Monitor
   • avast!
   • PANDA
   • DownloadAccelerator
   • BearShare

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • CleanUp
   • SECUR
   • NPROTECT
   • ccApp
   • ScriptBlocking
   • MCUpdateExe
   • VirusScan Online
   • MCAgentExe
   • VSOCheckTask
   • McRegWiz
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • McVsRte
   • PCClient.exe
   • PCCIOMON.exe
   • pccguide.exe
   • Pop3trap.exe
   • PccPfw
   • tmproxy
   • McAfeeVirusScanService
   • NAV Agent
   • PCCClient.exe
   • SSDPSRV
   • rtvscn95
   • defwatch
   • vptray
   • ScanInicio
   • APVXDWIN
   • KAVPersonal50
   • kaspersky
   • TM Outbreak Agent
   • AVG7_Run
   • AVG_CC
   • Avgserv9.exe
   • AVGW
   • AVG7_CC
   • AVG7_EMC
   • Vet Alert
   • VetTray
   • OfficeScanNT Monitor
   • avast!
   • PANDA
   • DownloadAccelerator
   • BearShare

Les clés de registre suivantes, y compris toutes les valeurs et les sous-clés, sont enlevées.
   • Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
   • SOFTWARE\Symantec\InstalledApps
   • SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
   • SOFTWARE\KasperskyLab\Components\101
   • SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
   • SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum

Les clés de registre suivantes sont changées:

Différents réglages pour Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   La nouvelle valeur:
   • "WebView"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   La nouvelle valeur:
   • "FullPath" = dword:00000001

Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)
–les adresses d'email recueillies du Yahoo! Messenger
–les adresses d'email recueillies du MSN Messenger

Sujet:
Un des suivants:
   • Word file; eBook.pdf; the file; Part 1 of 6 Video clipe; You Must View
      This Videoclip!; Miss Lebanon 2006; Re: Sex Video; My photos; The Best
      Videoclip Ever; School girl fantasies gone bad; A Great Video; Fuckin
      Kama Sutra pics; Arab sex DSC-00465.jpg; give me a kiss; *Hot Movie*;
      Fw: Funny :); Fwd: Photo; Fwd: image.jpg; Fw: Sexy; Re:; Fw:; Fw:
      Picturs; Fw: DSC-00465.jpg

Dans certains cas, le sujet pourrait également être vide.

Corps:
Le corps de l'email est une des lignes:
   • ----- forwarded message -----
   • ???????????????????????????? ????????????? ?????? ???????????
   • >> forwarded message
   • DSC-00465.jpg DSC-00466.jpg DSC-00467.jpg
   • forwarded message attached.
   • Fuckin Kama Sutra pics
   • hello, i send the file. bye
   • hi i send the details bye
   • Hot XXX Yahoo Groups
   • how are you? i send the details. OK ?
   • i attached the details. Thank you
   • i just any one see my photos. It's Free :)
   • Note: forwarded message attached.
   • photo photo2 photo3
   • Please see the file.
   • ready to be FUCKED :)
   • VIDEOS! FREE! (US$ 0,00)
   • What?

Pièce jointe:
Le nom de fichier de l'attachement est un des suivants:
   • 007.pif; 04.pif; 392315089702606E-02,.scR; 677.pif; Adults_9,zip.sCR;
      Arab sex DSC-00465.jpg; ATT01.zip.sCR; Attachments[001],B64.sCr;
      Clipe,zip.sCr; document.pif; DSC-00465.Pif; DSC-00465.pIf;
      DSC-00465.Pif; DSC-00465.pIf; eBook.pdf; eBook.PIF; image04.pif;
      image04.pif; New Video,zip; New_Document_file.pif; photo.pif;
      Photos,zip.sCR; School.pif; SeX,zip.scR; Sex.mim; Video_part.mim;
      WinZip,zip.scR; WinZip.BHX; WinZip.zip.sCR; Word XP.zip.sCR;
      Word.zip.sCR

L'attachement est une copie du malware lui-même.

Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • *.doc; *.xls; *.mdb; *.mde; *.ppt; *.pps; *.zip; *.rar; *.pdf; *.psd;
      *.dmp

Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • SYMANTEC; KASPERSKY; VIRUS; MCAFEE; TREND MICRO; PANDA; NORTON; FIX;
      HOTMAIL.COM; HELO; SECUR; SCRIBE; SPAM; ANTI; CILLIN; CA.COM; KASPER;
      TRUST; AVG; GROUPS.MSN; NOMAIL.YAHOO.COM; EEYE; MICROSOFT; @HOTMAIL;
      gmail.com; myway.com; @HOTPOP; @YAHOOGROUPS; @yahoo.com

Résoudre les noms des serveurs:
Il a la capacité d'entrer en contact avec les serveur DNS:
   • ns1.%le nom de domaine du destinataire de l'adresse email%

Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • ADMIN$
   • C$

Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– Le nom d'utilisateur suivant:
   • administrator

Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

Arrêt de processus: Les processus contenant un des titres de fenêtre suivants sont arrêtés:
   • SYMANTEC
   • SCAN
   • KASPERSKY
   • VIRUS
   • MCAFEE
   • TREND MICRO
   • NORTON
   • REMOVAL
   • FIX

Porte dérobée Serveur de contact:
Le suivant:
• http://webstats.web.rcn.net/**********?df=778247

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script CGI.

Il envoie de l'information au sujet de:
• Le statut courant du malware

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Description insérée par Alexandru Dinu le mercredi 14 novembre 2007
Description mise à jour par Alexandru Dinu le vendredi 16 novembre 2007

Retour . . . .

Produits phares

Plus de produits

Les plus populaires

Tous les produits

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils

Produits phares

Plus de produits

Les plus populaires

Tous les produits

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils