Nom:Worm/Hakaglan.B
La date de la découverte:05/04/2007
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:268.216 Octets
Somme de contrôle MD5:0D94f594bca6d09ab3423b962da0e9df
Version IVDF:6.38.00.184 - jeudi 5 avril 2007

 Général Méthodes de propagation:
   • Mapped network drives
   • Programme de messagerie


Les alias:
   •  Mcafee: Downloader-FL
   •  F-Secure: Worm.Win32.AutoIt.c
   •  Sophos: W32/SillyFDC-G
   •  Grisoft: Worm/Autoit.X
   •  Eset: Win32/Hakaglan.B
   •  Bitdefender: Win32.Worm.Sohanat.AB


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\RVHOST.exe
   • %WINDIR%\RVHOST.exe
   • %lecteur%\New Folder.exe



Le fichier suivant est créé:

%WINDIR%\tasks\At1.job Le fichier est une application planifie laquelle effectue le Malware avec un date prédéfinie.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger = %SYSDIR%\RVHOST.exe



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • Shell = Explorer.exe
   La nouvelle valeur:
   • Shell = Explorer.exe RVHOST.exe

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   La nouvelle valeur:
   • AtTaskMaxHours = 0

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   La nouvelle valeur:
   • DisableTaskMgr = 1
   • DisableRegistryTools = 1

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   La nouvelle valeur:
   • NofolderOptions = 1

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   La nouvelle valeur:
   • shared = \\%le nom de l'ordinateur%\%lecteur%\New Folder.exe

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– Yahoo Messenger


A:
Tous les contacts en ligne de la liste de contacts.


Message
Le message envoyé ressemble à celui-ci:

   • %rassemblé sur l'Internet%


Le message reçu aurait l'air du message suivant:




 Porte dérobée Serveur de contact:
Tous les suivants:
   • http://nhatquanglan2.0catch.com/**********
   • http://nhatquanglan2.0catch.com/**********
   • http://www.freewebs.com/nhattruongquang/**********

En conséquence la possibilité de contrôle à distance est fournie. Le réponse du serveur est écrit dans le fichier: %SYSDIR%\settings.ini


Capacités d'accès à distance:
    • Télécharger un fichier
    • Exécuter un fichier
    • Relié au Spam
    • Visiter un site web

Description insérée par Andrei Gherman le vendredi 14 mars 2008
Description mise à jour par Andrei Gherman le vendredi 14 mars 2008

Retour . . . .