Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Khanani.A
La date de la dcouverte:28/01/2008
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen lev
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:147.456 Octets
Somme de contrle MD5:889e0Ae6f6e8469c070Ee2ed3c2d58f8
Version IVDF:7.00.02.61 - lundi 28 janvier 2008

 Gnral Mthodes de propagation:
   • Mapped network drives
   • Peer to Peer


Les alias:
   •  Mcafee: W32/Bindo.worm
   •  Kaspersky: P2P-Worm.Win32.Malas.h
   •  F-Secure: P2P-Worm.Win32.Malas.h
   •  Eset: Win32/Malas.D
   •  Bitdefender: Win32.Worm.P2P.Agent.AM


Plateformes / Systmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre des fichiers
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %TEMPDIR%\svchost.exe
   • %PROGRAM FILES%\Common Files\Microsoft Shared\MSshare.exe
   • %HOME%\userinit.exe
   • %WINDIR%\Web\OfficeUpdate.exe
   • %lecteur%:\autoply.exe



Des sections sont ajoutes aux fichiers suivants.
– A: %ALLUSERSPROFILE%\Start Menu\Programs\Accessories\Calculator.lnk Avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

– A: %HOME%\Start Menu\Programs\Accessories\Notepad.lnk Avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

– A: %HOME%\Start Menu\Programs\Accessories\Command Prompt.lnk Avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%




Les fichiers suivants sont crs:

Fichiers inoffensifs:
   • %HOME%\Desktop\Important.htm
   • %HOME%\My Documents\Important.htm
   • %HOME%\Desktop\Iran_Israel.Jpg
   • %HOME%\My Documents\Iran_Israel.Jpg
   • %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Iran_Israel.Jpg

%lecteur%:\Autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

%ALLUSERSPROFILE%\Start Menu\Programs\Startup\Office Update.lnk
%WINDIR%\tasks\at1.job Le fichier est une application planifie laquelle effectue le Malware avec un date prdfinie.
%WINDIR%\tasks\at2.job Le fichier est une application planifie laquelle effectue le Malware avec un date prdfinie.

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • SoundMax = %HOME%\userinit.exe



Les valeurs des cls de registre suivantes sont supprimes:

–  [HKCR\lnkfile]
   • IsShortCut

–  [HKCR\piffile]
   • IsShortCut

–  [HKCR\InternetShortcut]
   • IsShortCut



Les cls de registre suivantes sont changes:

Diffrents rglages pour Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   L'ancienne valeur:
   • Hidden = %rglages dfinis par l'utilisateur%
   • HideFileExt = %rglages dfinis par l'utilisateur%
   • ShowSuperHidden = %rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • Hidden = 2
   • HideFileExt = 2
   • ShowSuperHidden = 2

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   La nouvelle valeur:
   • Nofolderoptions = 1

 P2P Afin d'infecter d'autres systmes d'exploitation dans la communaut en rseau peer-to-peer, l'action suivante est entreprise:


Il cherche les rpertoires suivants:
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\
   • %PROGRAM FILES%\Kazaa\My Shared Folder\
   • %PROGRAM FILES%\Edonkey2000\Incoming\
   • %PROGRAM FILES%\Icq\Shared Files\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\Gnucleus\Downloads\Incoming\
   • %PROGRAM FILES%\KMD\My Shared Folder\
   • %PROGRAM FILES%\Limewire\Shared\
   • %PROGRAM FILES%\XPCode\
   • C:\Inetpub\ftproot\

   En cas de succs, les fichiers suivants sont crs:
   • Sex_ScreenSaver.scr
   • Sex_Game.exe
   • SexGame.exe
   • SexScreenSaver.scr
   • SexGameList.pif
   • Games.lnk

   Ces fichiers sont copies du Malware.



Le dossier partag pourrait ressembler ce qui suit:


 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.

Description insérée par Andrei Gherman le lundi 16 juin 2008
Description mise à jour par Andrei Gherman le lundi 16 juin 2008

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.