Nom:Worm/Winko.I
La date de la découverte:22/10/2007
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:~17.000 Octets
Version IVDF:7.00.00.117 - lundi 22 octobre 2007

 Général Méthode de propagation:
   • Mapped network drives


Les alias:
   •  Kaspersky: Worm.Win32.AutoRun.cxp
   •  F-Secure: Worm:W32/AutoRun.CX
   •  Grisoft: Downloader.Small.BYN
   •  Eset: Win32/TrojanDownloader.Flux.AC
   •  Bitdefender: Win32.Worm.Winko.I

Détection similaires:
   •  Worm/Winko.I.%nombre%


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers
   • Il crée un fichier malveillant
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\%plusieurs chiffres aléatoires%.EXE
   • %lecteur%\auto.exe



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

%lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

%SYSDIR%\C%plusieurs chiffres aléatoires%.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Autorun.CA




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://33.xingaide8.cn/**********/update.txt
Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %chaîne de caractères aléatoire%]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\%plusieurs chiffres aléatoires%.EXE -k
   • DisplayName = %chaîne de caractères aléatoire%
   • ObjectName = LocalSystem
   • Description = C%plusieurs chiffres aléatoires%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %chaîne de caractères aléatoire%\Security]
   • Security = %valeurs hexa%



La clé de registre suivante, y compris toutes les valeurs et les sous-clés, est enlevée.
   • [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   La nouvelle valeur:
   • CheckedValue = 0

– [HKLM\SOFTWARE\Microsoft\Windows NT]
   La nouvelle valeur:
   • ReportBootOk= 1

– [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
   La nouvelle valeur:
   • DoReport = 0
   • ShowUI = 0

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\C%plusieurs chiffres aléatoires%.dll

    Tous les processus suivants:
   • explorer.exe
   • winlogon.exe
   • %tous les processus en exécution"

   En cas de succès, le processus malware se termine pendent que la partie injectée reste active.

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • Upack

Description insérée par Andrei Gherman le lundi 16 juin 2008
Description mise à jour par Andrei Gherman le jeudi 19 juin 2008

Retour . . . .