Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Darby.O
La date de la découverte:13/12/2012
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:140.470 Octets
Somme de contrôle MD5:c7a286a790fcb6b93264b2cc26522cf3
Version VDF:7.11.53.216

 Général Méthodes de propagation:
   • Email
   • Le réseau local
   • Peer to Peer


Les alias:
   •  Symantec: W32.Darby.B
   •  Kaspersky: P2P-Worm.Win32.Darby.o
   •  TrendMicro: WORM_DARBY.O
   •  Sophos: W32/Darby-O
   •  Grisoft: Worm/Darby.S
   •  VirusBuster: Worm.P2P.Darby.Q
   •  Bitdefender: Win32.Worm.P2P.Darby.O


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il diminue les réglages de sécurité
   • Il modifie des registres


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il crée sa propre copie en employant un nom de fichier des listes:
– A: %SYSDIR%\ employant un des noms suivants:
   • %chaîne de caractères aléatoire%.exe
   • %chaîne de caractères aléatoire%.bat
   • %chaîne de caractères aléatoire%.cmd
   • %chaîne de caractères aléatoire%.scr




Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %SYSDIR%\bZip.exe
   • c:\bardiel.hta

– Un fichier qui contient des adresses d'e-mail collectées:
   • %TEMPDIR%\mail.dat

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • %chaîne de caractères aléatoire%=%SYSDIR%\%chaîne de caractères aléatoire%



Les clés de registre suivantes sont ajoutée:

– HKLM\Software\GedzacLABS\Bardiel.d
   • "Parent" = "%SYSDIR%\%chaîne de caractères aléatoire%
   • "Sey3" = "%chaîne de caractères aléatoire%)%chaîne de caractères aléatoire%"
   • "Sey2" = "%chaîne de caractères aléatoire%)%chaîne de caractères aléatoire%"
   • "Sey1" = "%chaîne de caractères aléatoire%)%chaîne de caractères aléatoire%"

– HKLM\Software\Microsoft\Active Setup\Installed Components\Bardiel
   • "StubPath" = "%SYSDIR%\%chaîne de caractères aléatoire%

– HKLM\SYSTEM\CurrentControlSet\Services\GEDZAC LABS
   • "ImagePath" = "%SYSDIR%\%chaîne de caractères aléatoire%"
   • "DisplayName" = "GEDZAC Service"
   • "ObjectName" = "LocalSystem"
   • "ErrorControl" = dword:00000001
   • "Start" = dword:00000002
   • "Description" = "GEDZAC Service for W32.Bardiel.D"
   • "Type" = dword:00000010

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   L'ancienne valeur:
   • "Shell" = "%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "Shell" = "Explorer.exe %SYSDIR%\%chaîne de caractères aléatoire%"

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– HKCR\regfile\shell\open\command
   L'ancienne valeur:
   • "@" = "%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "@" = "GDC"

– HKLM\Software\Microsoft\Windows Scripting Host\Settings
   L'ancienne valeur:
   • "Timeout" = dword:00000000
   La nouvelle valeur:
   • "Timeout" = dword:00000000

– HKLM\Software\Microsoft\Windows Script Host\Settings
   L'ancienne valeur:
   • "Timeout" = dword:00000000
   La nouvelle valeur:
   • "Timeout" = dword:00000000

– HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Policies\System
   L'ancienne valeur:
   • "DisableTaskMgr" = %réglages définis par l'utilisateur%
   • "DisableRegistryTools" = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableTaskMgr" = dword:00000001
   • "DisableRegistryTools" = dword:00000001

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   L'ancienne valeur:
   • "DisableTaskMgr" = %réglages définis par l'utilisateur%
   • "DisableRegistryTools" = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableTaskMgr" = dword:00000001
   • "DisableRegistryTools" = dword:00000001

– HKCR\exefile\shell\open\command\
   L'ancienne valeur:
   • "@" = "%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "@" = "%SYSDIR%\%chaîne de caractères aléatoire%"%1" %*"

– HKCR\batfile\shell\open\command\
   L'ancienne valeur:
   • "@" = "%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "@" = "%SYSDIR%\%chaîne de caractères aléatoire%"%1" %*"

– HKCR\comfile\shell\open\command\
   L'ancienne valeur:
   • "@" = "%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "@" = "%SYSDIR%\%chaîne de caractères aléatoire%"%1" %*"

– HKCR\piffile\shell\open\command\
   L'ancienne valeur:
   • "@" = "%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "@" = "%SYSDIR%\%chaîne de caractères aléatoire%"%1" %*"

– HKCR\scrfile\shell\open\command\
   L'ancienne valeur:
   • "@" = "%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "@" = "%SYSDIR%\%chaîne de caractères aléatoire%"%1" %*"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)


Le format des emails:
 


Sujet: Mail Delivery Return System
Le corps:
   • La informaci
     n no pudo ser enviada a uno o m
     s destinatarios
L'attachement:
   • ReturnMsg.zip ReturnMsg
 


Sujet: Hola %le nom d'utilisateur de l'adresse email du destinataire%
Le corps:
   • Te envio la info que me pediste, responde que tal esta, bye
Les attachements:
   • videoClip.zip
   • Tienes un Mensage %le nom d'utilisateur de l'adresse email du destinataire%
 


Sujet: Sabes si te mienten?
Le corps:
   • El lenguage corporal delata sutilmente la mentira, 5 tips para saber si te estan diciendo la verdad.
Les attachements:
   • NoMentir.zip
   • NoMentir
 


Sujet: Manual de Seduccion
Le corps:
   • Quieres mejorar tu exito con el sexo opuesto, pos echale un ojo a este texto. que tiene utiles consejos
Les attachements:
   • Seduc.zip
   • Arte de Seducir
 


Sujet: tienes un Regalo Virtual
Le corps:
   • Te han enviado un Regalo virtual, esta disponible durante 7 dias, descargalo o entra al link :)
Les attachements:
   • Virtual0034.zip
   • %le nom d'utilisateur de l'adresse email du destinataire%
 


Sujet: Gusanito.com
Le corps:
   • Hay una targeta disponible para ti de parte de un amigo. descargala o entra al link :)
Les attachements:
   • E-Card.zip
   • Targeta Virtua
 


Sujet: Fotos en tu email
Le corps:
   • XXX Todo Vale XXX
Les attachements:
   • xImages.zip
   • Mirame ;)
 


Sujet: Que hay detras de un beso
Le corps:
   • Sabes que significa la forma de besar o que tipos y tecnicas existen, conocelas
Les attachements:
   • beso.zip
   • Besos
 


Sujet: Sexo Tantrico
Le corps:
   • Tantra: antigua disciplina oriental para mejorar el desempe
Les attachements:
   • Sex_Tantra.zip
   • Sexo Tantrico Images
 


Sujet: No Adware
Le corps:
   • Se te cambia la pagina de inicio?, te salen ventanas de publicidad, problemas con dialers, troyanos u otros adwares, prueba este programa gratis y acabemos con la lacra que es el Adware
Les attachements:
   • CwshredderPlus.zip
   • Limpiar Pc
 


Sujet: Hey
Le corps:
   • mira la imagen 30 segundos y luego mira a otra parte y veras algo sorprendente (buena ilusion optica, casi alucinacion)
Les attachements:
   • IlusionI.zip
   • Imagenes
 


Sujet: Mira la foto
Le corps:
   • Mira mi foto ;)
Les attachements:
   • Photo.zip
   • Mi Album
 


Sujet: Que significa tu nombre?
Le corps:
   • Los nombres y los apellidos como toda palabra tienen un significado, el cual ya en la mayoria de veces o no recordamos, tal vez encuentres el significado del tuyo en nuestra base de datos :)
Les attachements:
   • SigNombre.zip
   • Tu Nombre
 


Sujet: Eres inteligente? ;)
Le corps:
   • El Papa de rosa era un empleado en una compa
     ia de seguros, vivia modestamente, tenia una casa mediana, un auto no muy nuevo y un perro, pero lo que el queria m
     s eran sus 3 hijas: Ana, Ane y ...
     Como se llamaba su otra hija?
Les attachements:
   • RptAcertijos.zip
   • Respuesta
 


Sujet: Hack Hotmail
Le corps:
   • Quisiste hackear una cuenta de hotmail alguna vez, entonces prueba esta tecnica, y lo bueno es que no se nesecita ser un Hacker para usarla.
Les attachements:
   • HackHotmail.zip
   • HackHotmail
 


Sujet: Respuesta para
Le corps:
   • La respuesta a su pedido ha sido aprobada, con lo que se hace acreedor de las ventajas y descuentos de nuestro circulo, para mas detalles vea texto el adjunto.
Les attachements:
   • Respuesta para %le nom d'utilisateur de l'adresse email du destinataire% .zip
   • Admin Page
 


Sujet: Importante para
Le corps:
   • Hola, no me conoces, pero te envio algo que te interesara, ojala te sea de utilidad, bye
Les attachements:
   • _msg.zip
   • Mensage
 


Sujet: Click en el adjunto y pon audifono :)
Le corps:
   • Escuchate esta cancion, Carta a Santa Claus III ;)
Les attachements:
   • FuckSanta.zip
   • Play Song
 


Sujet: quieres saber cuan psicopata eres?
Le corps:
   • Este es un test usado por el ejercito de estados unidos al reclutar soldados, para en palabras simples medir cuan propensos a la locura son, hacelo y ve cuan zafado estas.
Les attachements:
   • TestRayado.zip
   • Test Aqui
 


Sujet: Dibujitos (Esta Buenisimo)
Le corps:
   • Mirate esto ;)
Les attachements:
   • Dibujitos.zip
   • at the picture
 


Sujet: Osama Ben Laden el hombre que le declaro la Guerra a Estados Unidos
Le corps:
   • Que lo indujo a dejar una posible vida de lujos(es millonario), para embarcarse en una guerra santa contra USA, sabias que las familias de Bush y Osama se conocian, enterate de las verdaderas causas de su guerra aqui.
Les attachements:
   • Osama.zip
   • Osama Web
 


Sujet: PornStars Show
Le corps:
   • Mira este scrensaver de las actrices del cine porno
Les attachements:
   • PornStars.zip
   • PorStars All Access
 


Sujet: Solo la pura verdad
Le corps:
   • Asi es la vida :(
     e picture
     Solo la Pura Verdad
L'attachement:
   • ZALIA.zip
 


Sujet: 16 Fotos de las mejores conejitas de Playboy
Le corps:
   • Las mejores fotos de PlayBoy de este a o, pasalas ;)
Les attachements:
   • 16Playboy.zip
   • Planeta PlayBoy
 


Sujet: Aviso Importante
Le corps:
   • Debido a las reformas del servidor, se pide a los usuarios completar el nuevo registro a fin de validar sus cuentas y no sean suspendidas. Atentamente AdminSystem
Les attachements:
   • Registro.zip
   • Nuevo Registro
 


Sujet: Diez mandamientos del Amor y Sexo
Le corps:
   • Mantener una relacion amorosa saludable y exitante exige mucho esfuerzo y muchas ganas, te damos estas 10 claves
Les attachements:
   • 10Claves.zip
   • Amor y Sexo
 


Sujet: Como Saber si le Gustas?
Le corps:
   • Te mueres por esa persona, pero no sabes si decirle algo, porque capaz no te da bola, con este test puedes descubrir detalles que te indiquen que siente por ti :)
Les attachements:
   • TestG.zip
   • My Page
 


Sujet: 100% Ideal
Le corps:
   • Participa en este rompecabezas, si se pudiera crear a la(el) Chica(o) Ideal escogiendo un rostro de aqui y una silueta de alla, como seria tu pareja Ideal?
Les attachements:
   • Ideal.zip
   • 100% Ideal
 


Sujet: Vision del Futuro
Le corps:
   • TodO hA sIdO Dad0
Les attachements:
   • TuFuturo.zip
   • Necromancia
 


Sujet: Que Raro
Le corps:
   • Miralo tu mismo
Les attachements:
   • QueRaro.zip
   • Que Raro
 


Sujet: Mail Delivery Return System
Le corps:
   • The information could not be a correspondent to one or more addressees.
Les attachements:
   • ReturnMsg.zip
   • ReturnMsg
 


Sujet: Hello %le nom d'utilisateur de l'adresse email du destinataire%
Le corps:
   • I ship You the info that you requested me, responds that such this, bye
Les attachements:
   • videoClip.zip
   • you Have a Mensage
 


Sujet: do you Know if they lie you?
Le corps:
   • The corporal language accuses the lie subtly, 5 tips to know if they are telling you the truth.
Les attachements:
   • Lie.zip
   • NotLie
 


Sujet: Manual gives Seduction
Le corps:
   • you Want to improve your success with the opposite sex, search keeps an eye on this text. that has useful advice.
Les attachements:
   • Seduc.zip
   • Art gives to Seduce
 


Sujet: %le nom d'utilisateur de l'adresse email du destinataire% you have a Virtual Gift
Le corps:
   • they have sent You a virtual Gift, this available one during 7 days, discharge it or enters to the link:)
Les attachements:
   • Virtual0034.zip
   • %le nom d'utilisateur de l'adresse email du destinataire%
 


Sujet: Gusanito.com
Le corps:
   • there is an available card for you on behalf of a friend. discharge it or enters to the link:)
Les attachements:
   • EL-Card.zip
   • Virtual Card
 


Sujet: Pictures in your email
Le corps:
   • XXX All Voucher XXX
Les attachements:
   • xImages.zip
   • you Look at me ;
 


Sujet: That there is behind a kiss
Le corps:
   • you Know that it means the form gives to kiss or that types and techniques exist, know them
Les attachements:
   • Kiss.zip
   • Kisses
 


Sujet: No Adware
Le corps:
   • are you changed the it paginates beginning he/she gives?, do they leave you windows publicity he/she gives, problems with dialers, troyanos or other adwares, does it prove this program free and do let us put an end to the insensitive one that the Adware is.
Les attachements:
   • CwshredderPlus.zip
   • to Clean Pc
 


Sujet: Sex Tantrico
Le corps:
   • Tantra: ancient discipline oriental to improve the sexual acting. Know it
Les attachements:
   • Sex_Tantra.zip
   • Sex Tantrico Images
 


Sujet: Hey %le nom d'utilisateur de l'adresse email du destinataire%
Le corps:
   • %le nom d'utilisateur de l'adresse email du destinataire% he/she looks at the image 30 second and then he/she looks to another part and truth at something surprising (good optic illusion, almost hallucination)
Les attachements:
   • IlusionI.zip
   • Images
 


Sujet: %le nom d'utilisateur de l'adresse email du destinataire% Looks at the picture
Le corps:
   • Looks at my picture;)
Les attachements:
   • Ph0t0.zip
   • My Album
 


Sujet: That means your name?
Le corps:
   • The names and the last names like all word have a meaning, the one which already in most he/she gives times or we don't remember, perhaps find the meaning he/she gives yours in our database:)
Les attachements:
   • SigName.zip
   • Your Name
 


Sujet: are you intelligent? ;)
Le corps:
   • The Father gives Sandra was an employee in an insurance company, lived modestly, tapeworm a medium house, a car very new no and a dog, but what the one wanted more they were its 3 daughters: Ana, Ane and... Like their other daughter was called?
Les attachements:
   • Riddles
   • Answer
 


Sujet: Hack Hotmail
Le corps:
   • you Wanted hackear one it counts gives hotmail at some time, then test this technique, and the good thing is that no you need to be a Hacker to use it
Les attachements:
   • HackHotmail.zip
   • HackHotmail
 


Sujet: Answer for %le nom d'utilisateur de l'adresse email du destinataire%
Le corps:
   • it is This way the life :(
     The answer to its order has been approved, with what becomes accrediting gives the advantages and discounts gives our I circulate, for but you detail sees text the assistant
Les attachements:
   • %le nom d'utilisateur de l'adresse email du destinataire% .zip
   • Admin Page
 


Sujet: Important for %username from receiver's email addre
Le corps:
   • Hello, you don't know me, but I ship you something that interested you, God willing it is you gives utility, bye
Les attachements:
   • _msg.zip
   • Message
 


Sujet: Click in the assistant and put earphone:)
Le corps:
   • you Listen to yourself this song, Letter to Santa Claus III ;)
Les attachements:
   • FuckSanta.zip
   • Play Song
 


Sujet: do you want to know how psychopath you are?
Le corps:
   • This is a test used for the I exercise gives states together to recruiting soldiers, it stops in simple words to measure how prone to the madness they are, and you go how released these.
Les attachements:
   • CrazyTest.zip
   • Test Here
 


Sujet: Drawings (This Very Good)
Le corps:
   • you Look at yourself this ;)
Les attachements:
   • Drawings.zip
   • MORE Drawings
 


Sujet: Osama Ben Laden the man that I declare the War to United States
Le corps:
   • That induced it to leave a possible life he gives luxuries, to go aboard in a sacred war against it USES, wise that the families give Bush and Osama they knew each other, find out he gives the true causes he gives their war
Les attachements:
   • Osama.zip
   • Osama Web
 


Sujet: PornStars Show
Le corps:
   • Looks at this scrensaver gives the actresses he/she gives the cinema porn
Les attachements:
   • PornStars.zip
   • PorStars All Access
 


Sujet: Alone the pure truth
Le corps:
   • it is This way the life :(
Les attachements:
   • e picture
   • Alone the pure truth
 


Sujet: 16 Pictures give the best doe gives Playboy
Le corps:
   • The best pictures give PlayBoy gives this year, it passes them ;)
Les attachements:
   • 16Playboy.zip
   • Planet PlayBoy
 


Sujet: I Warn Important
Le corps:
   • %le nom d'utilisateur de l'adresse email du destinataire% due to the reformations he/she gives the servant, it is asked the users to complete the new registration in order to validate their you count and don't be suspended. Sincerely AdminSystem"
Les attachements:
   • Registry.zip
   • New Registry
 


Sujet: Ten commandments give the Love and Sex
Le corps:
   • to Maintain a healthy loving relationship and upper demands a lot of effort and many desires, we give you these 10 keys
Les attachements:
   • 10Claves.zip
   • Love and Sex
 


Sujet: As Knowing if he Likes?
Le corps:
   • you die for that person, but you don't know if to tell him something, because capable doesn't give you ball, with this test you can discover specificses that indicate you that it feels for you :)
Les attachements:
   • TestG.zip
   • My Page
 


Sujet: 100% Ideal
Le corps:
   • %le nom d'utilisateur de l'adresse email du destinataire% does it Participate in this puzzle, if you could create to the Girl (or Boy) Ideal choosing a face gives here and does a silhouette give there, as serious your Ideal couple?
Les attachements:
   • Ideal.zip
   • 100% Ideal
 


Sujet: Vision gives the Future
Le corps:
   • Everything has Been given
Les attachements:
   • YourFuture.zip
   • Necromancy
 


Sujet: YourFuture.zip
Le corps:
   • you Look at it your same one
Les attachements:
   • ThatStrange.zip
   • That Strange


Pièce jointe:

L'attachement est une copie du malware lui-même.



L'email ressemble à celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .htm
   • .txt
   • .php
   • .asp


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • virus; master; persys; perant; abuse; report; panda; symantec; trend;
      avp; kasp; nod; support; admin; foo; iana; messagelab; microsoft; msn;
      anyone; bug; f-secur; free-av; google; help; info; linux; soporte;
      nobody; noone; noreply; rating; root; samples; sopho; spam; unix; upd;
      winrar; winzip


Serveur MX:
Il a la capacité de contacter un des serveurs MX suivants:
   • mdm@latinmail.com
   • mx1.hotmail.com
   • mdm@hotmail.com
   • correo.viabcp.com

 P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:   Il cherche les partages réseau standards suivants:
   • appleJuice\incoming
   • eDonkey2000\incoming
   • Gnucleus\Downloads
   • Grokster\My Grokster
   • ICQ\shared files
   • Kazaa\My Shared Folder
   • Kazaa Lite\My Shared Folder
   • LimeWire\Shared
   • morpheus\My Shared Folder
   • Overnet\incoming
   • Shareaza\Downloads
   • Swaptor\Download
   • WinMX\My Shared Folder
   • Tesla\Files
   • XoloX\Downloads
   • Rapigator\Share
   • KMD\My Shared Folder
   • BearShare\Shared
   • Direct Connect\Recieved Files
   • eMule\Incoming
   • Kazaa Lite K++\My Shared Folder
   • My Downloads

   Il recherche tous les dossiers standard partagés.

   En cas de succès, les fichiers suivants sont créés:
   • Quick Time Key Crack.exe; Ana Kournikova Sex Video.exe; AVP Antivirus
      Pro Key Crack.exe; Britney Spears Sex Video.exe; Buffy Vampire Slayer
      Movie.exe; Crack Passwords Mail.exe; Cristina Aguilera Sex Video.exe;
      Game Cube Real Emulator.exe; delphi.exe; Hentai Anime Girls Movie.exe;
      Jenifer Lopez Sex Video.exe; Matrix Movie.exe; Mcafee Antivirus Scan
      Crack.exe; Norton Anvirus Key Crack.exe; Panda Antivirus Titanium
      Crack.exe; PS2 PlayStation Simulator.exe; divx pro.exe; Sakura Card
      Captor Movie.exe; Sex Live Simulator.exe; Sex Passwords.exe; Spiderman
      Movie.exe; Start Wars Trilogy Movies.exe; Thalia Sex Video.exe; Winzip
      KeyGenerator Crack.exe; aol cracker.exe; aol password cracker.exe; GTA
      3 Crack.exe; GTA 3 Serial.exe; play station emulator.exe; virtua girl
      - adriana.exe; virtua girl - bailey short skirt.exe; Virtua Girl
      (Full).exe; warcraft 3 crack.exe; warcraft 3 serials.exe;
      counter-strike.exe; divx_pro.exe; HotGirls.exe; hotmail_hack.exe;
      pamela_anderson.exe; serials2000.exe; subseven.exe; VB6.exe;
      VirtualSex.exe; ACDSee 5.5.exe; Age of Empires 2 crack.exe; Animated
      Screen 7.0b.exe; AOL Instant Messenger.exe; AquaNox2 Crack.exe;
      Audiograbber 2.05.exe; BabeFest 2004 ScreenSaver 1.5.exe; Babylon
      3.50b reg_crack.exe; Battlefield1942_bloodpatch.exe;
      Battlefield1942_keygen.exe; DirectX InfoTool.exe; Business Card
      Designer Plus 7.9.exe; Clone CD 5.0.0.3 (crack).exe; Clone CD
      5.0.0.3.exe; Coffee Cup Free zip 7.0b.exe; Cool Edit Pro v2.55.exe;
      Diablo 2 Crack.exe; DirectDVD 5.0.exe; DirectX Buster (all
      versions).exe; DivX Video Bundle 6.5.exe; Download Accelerator Plus
      6.1.exe; DVD Copy Plus v5.0.exe; DVD Region-Free 2.3.exe; FIFA2004
      crack.exe; Final Fantasy VII XP Patch 1.5.exe; Flash MX crack
      (trial).exe; FlashGet 1.5.exe; FreeRAM XP Pro 1.9.exe; GetRight
      5.0a.exe; Global DiVX Player 3.0.exe; Gothic2 licence.exe; Guitar
      Chords Library 5.5.exe; Hitman_2_no_cd_crack.exe; Hot Babes XXX Screen
      Saver.exe; ICQ Pro 2004a.exe; SmartRipper v2.7.exe; ICQ Pro 2004b (new
      beta).exe; iMesh 3.6.exe; iMesh 3.7b (beta).exe; IrfanView 4.5.exe;
      KaZaA Hack 2.5.0.exe; KaZaA Speedup 3.6.exe; Links 2004 Golf game
      (crack).exe; Living Waterfalls 1.3.exe; Mafia_crack.exe; Matrix
      Screensaver 1.5.exe; MediaPlayer Update.exe; mIRC 6.40.exe; mp3Trim
      PRO 2.5.exe; MSN Messenger 5.2.exe; NBA2004_crack.exe; Need 4 Speed
      crack.exe; Nero Burning ROM crack.exe; Netfast 1.8.exe; SmartFTP
      2.0.0.exe; Network Cable e ADSL Speed 2.0.5.exe; NHL 2004 crack.exe;
      Nimo CodecPack (new) 8.0.exe; PalTalk 5.01b.exe; Popup Defender
      6.5.exe; Pop-Up Stopper 3.5.exe; QuickTime_Pro_Crack.exe; Serials 2004
      v.8.0 Full.exe; Space Invaders 1978.exe; Splinter_Cell_Crack.exe;
      Steinberg_WaveLab_5_crack.exe; Trillian 0.85 (free).exe; TweakAll
      3.8.exe; Unreal2_bloodpatch.exe; Unreal2_crack.exe;
      UT2004_bloodpatch.exe; UT2004_keygen.exe; UT2004_no cd (crack).exe;
      UT2004_patch.exe; WarCraft_3_crack.exe; Winamp 3.8.exe; WindowBlinds
      4.0.exe; WinOnCD 4 PE_crack.exe; WinZip 9.0b.exe; Yahoo Messenger
      6.0.exe; Zelda Classic 2.00.exe; Windows XP complete + serial.exe;
      Screen saver christina aguilera.exe; Screen saver christina aguilera
      naked.exe; Visual basic 6.exe; Starcraft serial.exe; Credit Card
      Numbers generator(incl Visa,MasterCard,...).exe; Edonkey2000-Speed me
      up scotty.exe; Hotmail Hacker 2004-Xss Exploit.exe; Kazaa SDK + Xbit
      speedUp for 2.xx.exe; Microsoft KeyGenerator-Allmost all microsoft
      stuff.exe; Netbios Nuker 2004.exe; Security-2004-Update.exe; Stripping
      MP3 dancer+crack.exe; Visual Basic 6.0 Msdn Plugin.exe; Windows Xp
      Exploit.exe; WinRar 3.xx Password Cracker.exe; WinZipped Visual C++
      Tutorial.exe; XNuker 2004 2.93b.exe; cable modem ultility pack.exe;
      macromedia dreamweaver key generator.exe; winamp plugin pack.exe;
      winzip full version key generator.exe; PerAntivirus 8.9.exe; The
      Hacker Antivirus 5.7.exe

   Ces fichiers sont copies du Malware.



Le dossier partagé pourrait ressembler à ce qui suit:


 Infection du réseau Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– La liste suivante de noms d'utilisateurs:
   • Andrea; Pamela; Patricia; Cristina; Adriana; Katherine; July; Vanessa;
      Jennifer; Karina; Janeth; Dulce; Bill; Alejandro; Dark; Bracho;
      Torres; Aguilar; Martinez; Lugo; Costa; Velarde; Varela; Helsim;
      Valencia; Mancilla; Braschi; Wong; Chang; Mora; Arana; Alvites; Start;
      Toledo; Flores; Garcia; Orellana; Hoyos; Perez; Campos; Humala;
      Alvarez; Valenzuela; Luque

– La liste suivante de mots de passe:
   • "123"; "1234"; "12345"; "123456"; "1234567"; "12345678"; "654321";
      "54321"; "111"; "11111"; "111111"; "11111111"; "000000"; "00000000";
      "pass"; "5201314"; "88888888"; "888888"; "passwd"; "password";
      "database"; "test"; "server"; "computer"; "secret"; "oracle";
      "sybase"; "Internet"; "super"; "user"; "manager"; "public"; "private";
      "default"; "1234qwer"; "123qwe"; "abcd"; "abc123"; "123abc"; "abc";
      "123asd"; "dos"; "asdfgh"; "!@; $"; "!@; $%"; "!@; $%^"; "!@; $%^&";
      "!@; $%^&*"; "!@; $%^&*("; "!@; $%^&*()"; "intel"; "KKKKKKK"; "09876"


 IRC Propagation:
–Le fichier Mirc.ini est modifié.

 Arrêt de processus: Il essaye d'arrêter le processus suivant et il supprime les fichiers correspondants:
   • avx; adaware; advxdwin; alevir; arr; auto-protect; Avg; avw; ahnsd;
      apvxdwin; anti-trojan; avsched32; avconsol; ackwin32; autodown; alert;
      amon; avmon; antivir; avsynmgr; avnt; avrep32; ants; atcon; atupdater;
      atwatch; autotrace; aplica32; atro55en; aupdate; autoupdate; avrescue;
      agent; avltmain; backweb; blackice; blackd; bd_professional; bidef;
      bidserver; bipcp; bisp; bootwarn; borg2; bs120; buscareg; clrav;
      claw95ct; cfiaudit; cfiadmin; cmgrdian; ctrl; cfind; cfinet; ccapp;
      claw95; cpd; cleanpc; cmon016; cpf9x206; cpfnt206; csinject; csinsm32;
      css1631; cwnb181; cwntdwmo; ccevtmgr; ccpxysvc; dv95; dvp95; defwatch;
      defalert; doors; deputy; dpf; drwatson; drweb32; drwebupw; efinet32;
      espwatch; esafe; efpeadm; etrustcipe; evpn; ecengine; eli; findviru;
      f-agnt95; frw; f-stopw; filemon; f-prot; fch32; fih32; fp-win; fsgk32;
      fnrb32; fsaa; fameh32; fast; fix-it; flowprotector; fp-win_trial;
      fsav; fsm; fwenc; gbmenu; gbpoll; generics; guard; hacktracer; htlog;
      icssuppnt; icload; iamapp; icsupp95; ibma; iomon98; icmo; iface; iams;
      ifw2000; iparmor; iris; isrv95; jed; jammer; kpf; kavlite; kerio;
      luall; lookout; lockdown; lucomserver; ldpromenu; luspt; ldnetmon;
      ldpro; localnet; lsetup; luau; luinit; mpftray; moolive; msconfig;
      monitor; mcmnhdlr; mctool; mcupdate; mcvsrte; mghtml; minilog;
      mcvsshld; mpfservice; mwatch; mcshield; mfw2en; mfweng3; mgavr; mgui;
      monsys; monwow; mrflux; msinfo32; mssmmc32; mu0311ad; mxtask; nav;
      netd32; nod32; nspclean; nmain; nvc95; nisum; nupgrade; per; nwtool16;
      normist; nisserv; nsched32; neowatchlog; nvsvc32; nwservice;
      ntxconfig; ntvdm; npssvc; npscheck; netutils; ndd32; notstart; nc2000;
      ncinst4; netarmor; netinfo; netmon; pav; netspyhunter; netstat; npf;
      nui; nvarch16; nvlaunch; nwinst4; nvapsvc; outpost; offguard;
      ostronet; procexp; pcfwallicon; programauditor; pop3trap; poproxy;
      pcntmon; padmin; pview95; pcc; pqremove; pfwcon; pfwagent; pfwsvc;
      prebind; panixk; pcdsetup; pcip10117_0; pf2; pfwadmin; platin;
      portdetective; ppinupdt; pptbc; ppvstop; procexplorerv1; proport;
      protect; purge; pccntmon; ping; qconsole; qserver; rav; regmon;
      rescue; rapapp; rtvscn95; rulaunch; regedit; regedt32; realmon;
      rshell; stinger; serv95; safeweb; symproxysvc; symtray; sphinx; smc;
      ss3edit; sbserv; swnetsup; sfc; schedapp; setupvameeval;
      setup_flowprotector_us; sgssfw32; shellspyinstall; shn; sofi; spf;
      srwatch; st2; supftrl; supporter5; sweep; sysdoc32; sysedit;
      sharedaccess; tbscan; tds; taumon; tcm; tfak; taskmon; tauscan; tc;
      tgbob; titanin; tracer; trjs; tmntsrv; undoboot; Update; vshwin32;
      vet; vsecomr; vbcmserv; vbcons; vir -help; vptray; vsmain; vsmon;
      vsstat; vettray; vcontrol; vbust; vbwin; vccmserv; vcsetup; vfsetup;
      vnlan300; vnpc3000; vpc; vpfw30s; vscenu6; vsisetup; vswin; vvstat;
      view; wfindv32; wimmun32; wgfe95; webtrap; watchdog; wradmin; wrctrl;
      w32dsm89; whoswatchingme; winrecon; winroute; winsfcm; wsbgate;
      zonealarm; zapro; zap; zcap; zatutor; zonestub; asdf; zlclient;
      zauinst; zonalm2601; taskmgr

Les processus avec les caractéristiques suivantes sont arrêtés:
    •  Titre: %chaîne de caractères aléatoire%     Nom de la classe: DirectUIHWND
    •  Titre: %chaîne de caractères aléatoire%     Nom de la classe: RICHEDIT20a
    •  Titre: %chaîne de caractères aléatoire%     Nom de la classe: RICHEDIT
    •  Titre: %chaîne de caractères aléatoire%     Nom de la classe: ate32class

 Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Irina Boldea le mardi 6 décembre 2005
Description mise à jour par Andrei Gherman le lundi 30 janvier 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.