Nom:Worm/Khanani.A
La date de la découverte:28/01/2008
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:147.456 Octets
Somme de contrôle MD5:889e0Ae6f6e8469c070Ee2ed3c2d58f8
Version IVDF:7.00.02.61 - lundi 28 janvier 2008

 Général Méthodes de propagation:
   • Mapped network drives
   • Peer to Peer


Les alias:
   •  Mcafee: W32/Bindo.worm
   •  Kaspersky: P2P-Worm.Win32.Malas.h
   •  F-Secure: P2P-Worm.Win32.Malas.h
   •  Eset: Win32/Malas.D
   •  Bitdefender: Win32.Worm.P2P.Agent.AM


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %TEMPDIR%\svchost.exe
   • %PROGRAM FILES%\Common Files\Microsoft Shared\MSshare.exe
   • %HOME%\userinit.exe
   • %WINDIR%\Web\OfficeUpdate.exe
   • %lecteur%:\autoply.exe



Des sections sont ajoutées aux fichiers suivants.
– A: %ALLUSERSPROFILE%\Start Menu\Programs\Accessories\Calculator.lnk Avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

– A: %HOME%\Start Menu\Programs\Accessories\Notepad.lnk Avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

– A: %HOME%\Start Menu\Programs\Accessories\Command Prompt.lnk Avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%




Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %HOME%\Desktop\Important.htm
   • %HOME%\My Documents\Important.htm
   • %HOME%\Desktop\Iran_Israel.Jpg
   • %HOME%\My Documents\Iran_Israel.Jpg
   • %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Iran_Israel.Jpg

%lecteur%:\Autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

– %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Office Update.lnk
%WINDIR%\tasks\at1.job Le fichier est une application planifie laquelle effectue le Malware avec un date prédéfinie.
%WINDIR%\tasks\at2.job Le fichier est une application planifie laquelle effectue le Malware avec un date prédéfinie.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • SoundMax = %HOME%\userinit.exe



Les valeurs des clés de registre suivantes sont supprimées:

–  [HKCR\lnkfile]
   • IsShortCut

–  [HKCR\piffile]
   • IsShortCut

–  [HKCR\InternetShortcut]
   • IsShortCut



Les clés de registre suivantes sont changées:

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   L'ancienne valeur:
   • Hidden = %réglages définis par l'utilisateur%
   • HideFileExt = %réglages définis par l'utilisateur%
   • ShowSuperHidden = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • Hidden = 2
   • HideFileExt = 2
   • ShowSuperHidden = 2

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   La nouvelle valeur:
   • Nofolderoptions = 1

 P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:  


Il cherche les répertoires suivants:
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\
   • %PROGRAM FILES%\Kazaa\My Shared Folder\
   • %PROGRAM FILES%\Edonkey2000\Incoming\
   • %PROGRAM FILES%\Icq\Shared Files\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\Gnucleus\Downloads\Incoming\
   • %PROGRAM FILES%\KMD\My Shared Folder\
   • %PROGRAM FILES%\Limewire\Shared\
   • %PROGRAM FILES%\XPCode\
   • C:\Inetpub\ftproot\

   En cas de succès, les fichiers suivants sont créés:
   • Sex_ScreenSaver.scr
   • Sex_Game.exe
   • SexGame.exe
   • SexScreenSaver.scr
   • SexGameList.pif
   • Games.lnk

   Ces fichiers sont copies du Malware.



Le dossier partagé pourrait ressembler à ce qui suit:


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.

Description insérée par Andrei Gherman le lundi 16 juin 2008
Description mise à jour par Andrei Gherman le lundi 16 juin 2008

Retour . . . .