Nom:Worm/P2P.Agent.N
La date de la découverte:19/02/2008
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:1.470.464 Octets
Somme de contrôle MD5:b1a0bd24b09ccb213a4d961f53ff9d0F
Version VDF:7.00.02.153
Version IVDF:7.00.02.156 - mardi 19 février 2008

 Général Méthode de propagation:
   • Peer to Peer


Les alias:
   •  Kaspersky: P2P-Worm.Win32.Archivarius.a
   •  F-Secure: P2P-Worm.Win32.Archivarius.a
   •  Sophos: Troj/Agent-GPY
   •  Panda: W32/Archivarius.A.worm
   •  Grisoft: Worm/Delf.HEE
   •  Eset: Win32/Archivarius.A


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier
   • Il crée un fichier malveillant
   • Il modifie des registres


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\WinSecure.exe
   • %TEMPDIR%\Installer-Crack-Keygen.exe



Il se copie dans des archives aux emplacements suivants :
   • %TEMPDIR%\xx%nombre%
   • %TEMPDIR%\TEMP1.zip



Les fichiers suivants sont créés:

– Fichier inoffensif:
   • %SYSDIR%\rar.exe

– Des fichiers qui peuvent être supprimés après:
   • %TEMPDIR%\xx%nombre%
   • %TEMPDIR%\TEMP1.zip

%TEMPDIR%\temp_01.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Delf.own

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • Windows Security Tool="WinSecure.exe"



Les clés de registre suivantes sont changées:

– [HKLM\Software\Microsoft\RFC1156Agent\CurrentVersion\Parameters]
   La nouvelle valeur:
   • TrapPollTimeMilliSecs = 00003a98

– [HKLM\SOFTWARE\Licenses]
   La nouvelle valeur:
   • {K7C0DB872A3F777C0} = %valeurs hexa%
   • {I29A5EA887C231048} = %valeurs hexa%

 P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:   Il recherche les dossiers partagés en questionnant les clés de registre suivantes :
   • [SOFTWARE\Kazaa\LocalContent\DownloadDir]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Desktop\LimeWire Shared]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop\Shared]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal\Shared]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal\LimeWire\Shared]
   • [Software\Shareaza\Shareaza\Downloads\CompletePath]
   • [Software\Shareaza\Shareaza\Downloads\CollectionPath]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Local AppData\Ares\My Shared Folder]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData\Warez]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData\My Downloads]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal\eDonkey2000 Downloads]

   En cas de succès, les fichiers suivants sont créés:
   • Nero 8 Ultra Edition 8.2.1.5 Keygen.rar; Adobe Photoshop CS3
      Keygenerator.rar; Windows XP Home-Professional Genuine Crack.rar;
      Microsoft Office 2008 Crack.rar; FlashGet Ver 1.9.6.1073.rar; Serif
      WebPlus v10.1.1.rar; NetLimiter 2 Pro v2.0.10.1.rar; ZoomPlayer WMV
      Professional v5.01.rar; Video Snapshots Genius v2.1.rar; Just Audio
      Management v3.0.38.rar; Image Cut v1.5.rar; ZeallSoft Music DVD Maker
      v2.2.rar; Winamp Pro v5.52.rar; TextAloud v2.268.rar; Panda Antivirus
      2008 + patcheado actualizado 02-08.rar; Caribbean Hideaway v1.0.rar;
      MasterCAM X2 v.11 SP1.rar; Digital Tutors Introduction To Photoshop
      CS3 2CD ISO.rar; PTC Pro Engineer Wildfire v.4 Graphics Library.rar;
      DiskWarrior v.4.1 rev42 Bootable CD Retail MAC.rar; RoketBox Disk1
      DVD.rar; WireShark University Training Course Bootcamp 02 TCP-IP.rar;
      The Print Shop Pro Publisher 22 Deluxe DVD.rar; Super DVD Creator
      9.rar; VirtualDJ 5.0.rar; X-NetStat Professional 5.5.rar; Boilsoft
      Video Splitter 5.01.rar; Roxio Easy Media Creator Suite 10.rar; Radmin
      Remote Administrator 3.0.rar; LimeWire Pro 4.17.0.rar; Network Magic
      Pro 4.2.7234.0.rar; Acronis Disk Director Suite 10.0.2160.rar; Super
      Internet TV Satellite 7.1.1.rar; Print Folder Pro 3.3.rar; Active
      Webcam 10.1.rar; WinAVI Video Converter 9.rar; Eset NOD32 Complete
      Software Collection 2008.rar; Folder Guard Pro 7.92.rar; Kaspersky
      Internet Security Anti-Virus 7.0.1.321 working KEY (02-08).rar; Winamp
      5.5.2 (funciona con el keygenerador de serial).rar; Movie Label 2008
      3.0.rar; Microsoft Exchange Server 2007.rar; ImTOO 3GP Video Converter
      3.1.23.rar; TuneUp Utilities 2008.rar; Vista Manager 1.4.rar; Sony
      Vegas Pro Studio 8 20071.rar; How to Cheat In Photoshop CS3
      Content.rar; NodLogin 8.0.rar; Smart Wedding 4.0.rar; FrostWire
      4.13.4, Like Limewire But Better.rar; Windows XP 2.0.rar; McAfee Total
      Protection Retail 2008 (con el serial funcionante).rar; BitDefender
      Internet Security (2008).rar; Alive YouTube Video Converter
      1.2.8.8.rar; Fraps Registered 2.9.2.rar; YouTube Get 4.2 (descarga
      videos da youtube ... mui bueno).rar; Microsoft Office Professional
      2007 (con el keygenerador que funciona).rar; UnHackMe 4.9.rar;
      Seepassword 2.055.rar; CloneDVD Mobile 1.1.6.15.rar; AnyDVD HD 6.3.1.5
      (graba dvd funcionante).rar; DVDFab Platinum 4.0.5.55.rar; 8 Start
      Launcher.rar; Windows Media Player 11 con patcheada actualizada
      2008.rar

   Le fichier compressé contient une copie du Malware.



Le dossier partagé pourrait ressembler à ce qui suit:


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Ana Maria Niculescu le vendredi 11 avril 2008
Description mise à jour par Andrei Gherman le vendredi 18 avril 2008

Retour . . . .