Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Darby.O
La date de la dcouverte:13/12/2012
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:140.470 Octets
Somme de contrle MD5:c7a286a790fcb6b93264b2cc26522cf3
Version VDF:7.11.53.216

 Gnral Mthodes de propagation:
   • Email
   • Le rseau local
   • Peer to Peer


Les alias:
   •  Symantec: W32.Darby.B
   •  Kaspersky: P2P-Worm.Win32.Darby.o
   •  TrendMicro: WORM_DARBY.O
   •  Sophos: W32/Darby-O
   •  Grisoft: Worm/Darby.S
   •  VirusBuster: Worm.P2P.Darby.Q
   •  Bitdefender: Win32.Worm.P2P.Darby.O


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il emploie son propre moteur de courrier lectronique
   • Il diminue les rglages de scurit
   • Il modifie des registres


Immdiatement aprs l'excution l'information suivante est affiche:


 Fichiers Il cre sa propre copie en employant un nom de fichier des listes:
A: %SYSDIR%\ employant un des noms suivants:
   • %chane de caractres alatoire%.exe
   • %chane de caractres alatoire%.bat
   • %chane de caractres alatoire%.cmd
   • %chane de caractres alatoire%.scr




Les fichiers suivants sont crs:

Fichiers inoffensifs:
   • %SYSDIR%\bZip.exe
   • c:\bardiel.hta

– Un fichier qui contient des adresses d'e-mail collectes:
   • %TEMPDIR%\mail.dat

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • %chane de caractres alatoire%=%SYSDIR%\%chane de caractres alatoire%



Les cls de registre suivantes sont ajoute:

HKLM\Software\GedzacLABS\Bardiel.d
   • "Parent" = "%SYSDIR%\%chane de caractres alatoire%
   • "Sey3" = "%chane de caractres alatoire%)%chane de caractres alatoire%"
   • "Sey2" = "%chane de caractres alatoire%)%chane de caractres alatoire%"
   • "Sey1" = "%chane de caractres alatoire%)%chane de caractres alatoire%"

HKLM\Software\Microsoft\Active Setup\Installed Components\Bardiel
   • "StubPath" = "%SYSDIR%\%chane de caractres alatoire%

HKLM\SYSTEM\CurrentControlSet\Services\GEDZAC LABS
   • "ImagePath" = "%SYSDIR%\%chane de caractres alatoire%"
   • "DisplayName" = "GEDZAC Service"
   • "ObjectName" = "LocalSystem"
   • "ErrorControl" = dword:00000001
   • "Start" = dword:00000002
   • "Description" = "GEDZAC Service for W32.Bardiel.D"
   • "Type" = dword:00000010

Il dsactive le Gestionnaire des tches et l'diteur de la base de registres
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   L'ancienne valeur:
   • "Shell" = "%rglages dfinis par l'utilisateur%"
   La nouvelle valeur:
   • "Shell" = "Explorer.exe %SYSDIR%\%chane de caractres alatoire%"

Il dsactive le Gestionnaire des tches et l'diteur de la base de registres
HKCR\regfile\shell\open\command
   L'ancienne valeur:
   • "@" = "%rglages dfinis par l'utilisateur%"
   La nouvelle valeur:
   • "@" = "GDC"

HKLM\Software\Microsoft\Windows Scripting Host\Settings
   L'ancienne valeur:
   • "Timeout" = dword:00000000
   La nouvelle valeur:
   • "Timeout" = dword:00000000

HKLM\Software\Microsoft\Windows Script Host\Settings
   L'ancienne valeur:
   • "Timeout" = dword:00000000
   La nouvelle valeur:
   • "Timeout" = dword:00000000

HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Policies\System
   L'ancienne valeur:
   • "DisableTaskMgr" = %rglages dfinis par l'utilisateur%
   • "DisableRegistryTools" = %rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "DisableTaskMgr" = dword:00000001
   • "DisableRegistryTools" = dword:00000001

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   L'ancienne valeur:
   • "DisableTaskMgr" = %rglages dfinis par l'utilisateur%
   • "DisableRegistryTools" = %rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "DisableTaskMgr" = dword:00000001
   • "DisableRegistryTools" = dword:00000001

HKCR\exefile\shell\open\command\
   L'ancienne valeur:
   • "@" = "%rglages dfinis par l'utilisateur%"
   La nouvelle valeur:
   • "@" = "%SYSDIR%\%chane de caractres alatoire%"%1" %*"

HKCR\batfile\shell\open\command\
   L'ancienne valeur:
   • "@" = "%rglages dfinis par l'utilisateur%"
   La nouvelle valeur:
   • "@" = "%SYSDIR%\%chane de caractres alatoire%"%1" %*"

HKCR\comfile\shell\open\command\
   L'ancienne valeur:
   • "@" = "%rglages dfinis par l'utilisateur%"
   La nouvelle valeur:
   • "@" = "%SYSDIR%\%chane de caractres alatoire%"%1" %*"

HKCR\piffile\shell\open\command\
   L'ancienne valeur:
   • "@" = "%rglages dfinis par l'utilisateur%"
   La nouvelle valeur:
   • "@" = "%SYSDIR%\%chane de caractres alatoire%"%1" %*"

HKCR\scrfile\shell\open\command\
   L'ancienne valeur:
   • "@" = "%rglages dfinis par l'utilisateur%"
   La nouvelle valeur:
   • "@" = "%SYSDIR%\%chane de caractres alatoire%"%1" %*"

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)


Le format des emails:



Sujet: Mail Delivery Return System
Le corps:
   • La informaci
     n no pudo ser enviada a uno o m
     s destinatarios
L'attachement:
   • ReturnMsg.zip ReturnMsg



Sujet: Hola %le nom d'utilisateur de l'adresse email du destinataire%
Le corps:
   • Te envio la info que me pediste, responde que tal esta, bye
Les attachements:
   • videoClip.zip
   • Tienes un Mensage %le nom d'utilisateur de l'adresse email du destinataire%



Sujet: Sabes si te mienten?
Le corps:
   • El lenguage corporal delata sutilmente la mentira, 5 tips para saber si te estan diciendo la verdad.
Les attachements:
   • NoMentir.zip
   • NoMentir



Sujet: Manual de Seduccion
Le corps:
   • Quieres mejorar tu exito con el sexo opuesto, pos echale un ojo a este texto. que tiene utiles consejos
Les attachements:
   • Seduc.zip
   • Arte de Seducir



Sujet: tienes un Regalo Virtual
Le corps:
   • Te han enviado un Regalo virtual, esta disponible durante 7 dias, descargalo o entra al link :)
Les attachements:
   • Virtual0034.zip
   • %le nom d'utilisateur de l'adresse email du destinataire%



Sujet: Gusanito.com
Le corps:
   • Hay una targeta disponible para ti de parte de un amigo. descargala o entra al link :)
Les attachements:
   • E-Card.zip
   • Targeta Virtua



Sujet: Fotos en tu email
Le corps:
   • XXX Todo Vale XXX
Les attachements:
   • xImages.zip
   • Mirame ;)



Sujet: Que hay detras de un beso
Le corps:
   • Sabes que significa la forma de besar o que tipos y tecnicas existen, conocelas
Les attachements:
   • beso.zip
   • Besos



Sujet: Sexo Tantrico
Le corps:
   • Tantra: antigua disciplina oriental para mejorar el desempe
Les attachements:
   • Sex_Tantra.zip
   • Sexo Tantrico Images



Sujet: No Adware
Le corps:
   • Se te cambia la pagina de inicio?, te salen ventanas de publicidad, problemas con dialers, troyanos u otros adwares, prueba este programa gratis y acabemos con la lacra que es el Adware
Les attachements:
   • CwshredderPlus.zip
   • Limpiar Pc



Sujet: Hey
Le corps:
   • mira la imagen 30 segundos y luego mira a otra parte y veras algo sorprendente (buena ilusion optica, casi alucinacion)
Les attachements:
   • IlusionI.zip
   • Imagenes



Sujet: Mira la foto
Le corps:
   • Mira mi foto ;)
Les attachements:
   • Photo.zip
   • Mi Album



Sujet: Que significa tu nombre?
Le corps:
   • Los nombres y los apellidos como toda palabra tienen un significado, el cual ya en la mayoria de veces o no recordamos, tal vez encuentres el significado del tuyo en nuestra base de datos :)
Les attachements:
   • SigNombre.zip
   • Tu Nombre



Sujet: Eres inteligente? ;)
Le corps:
   • El Papa de rosa era un empleado en una compa
     ia de seguros, vivia modestamente, tenia una casa mediana, un auto no muy nuevo y un perro, pero lo que el queria m
     s eran sus 3 hijas: Ana, Ane y ...
     Como se llamaba su otra hija?
Les attachements:
   • RptAcertijos.zip
   • Respuesta



Sujet: Hack Hotmail
Le corps:
   • Quisiste hackear una cuenta de hotmail alguna vez, entonces prueba esta tecnica, y lo bueno es que no se nesecita ser un Hacker para usarla.
Les attachements:
   • HackHotmail.zip
   • HackHotmail



Sujet: Respuesta para
Le corps:
   • La respuesta a su pedido ha sido aprobada, con lo que se hace acreedor de las ventajas y descuentos de nuestro circulo, para mas detalles vea texto el adjunto.
Les attachements:
   • Respuesta para %le nom d'utilisateur de l'adresse email du destinataire% .zip
   • Admin Page



Sujet: Importante para
Le corps:
   • Hola, no me conoces, pero te envio algo que te interesara, ojala te sea de utilidad, bye
Les attachements:
   • _msg.zip
   • Mensage



Sujet: Click en el adjunto y pon audifono :)
Le corps:
   • Escuchate esta cancion, Carta a Santa Claus III ;)
Les attachements:
   • FuckSanta.zip
   • Play Song



Sujet: quieres saber cuan psicopata eres?
Le corps:
   • Este es un test usado por el ejercito de estados unidos al reclutar soldados, para en palabras simples medir cuan propensos a la locura son, hacelo y ve cuan zafado estas.
Les attachements:
   • TestRayado.zip
   • Test Aqui



Sujet: Dibujitos (Esta Buenisimo)
Le corps:
   • Mirate esto ;)
Les attachements:
   • Dibujitos.zip
   • at the picture



Sujet: Osama Ben Laden el hombre que le declaro la Guerra a Estados Unidos
Le corps:
   • Que lo indujo a dejar una posible vida de lujos(es millonario), para embarcarse en una guerra santa contra USA, sabias que las familias de Bush y Osama se conocian, enterate de las verdaderas causas de su guerra aqui.
Les attachements:
   • Osama.zip
   • Osama Web



Sujet: PornStars Show
Le corps:
   • Mira este scrensaver de las actrices del cine porno
Les attachements:
   • PornStars.zip
   • PorStars All Access



Sujet: Solo la pura verdad
Le corps:
   • Asi es la vida :(
     e picture
     Solo la Pura Verdad
L'attachement:
   • ZALIA.zip



Sujet: 16 Fotos de las mejores conejitas de Playboy
Le corps:
   • Las mejores fotos de PlayBoy de este a o, pasalas ;)
Les attachements:
   • 16Playboy.zip
   • Planeta PlayBoy



Sujet: Aviso Importante
Le corps:
   • Debido a las reformas del servidor, se pide a los usuarios completar el nuevo registro a fin de validar sus cuentas y no sean suspendidas. Atentamente AdminSystem
Les attachements:
   • Registro.zip
   • Nuevo Registro



Sujet: Diez mandamientos del Amor y Sexo
Le corps:
   • Mantener una relacion amorosa saludable y exitante exige mucho esfuerzo y muchas ganas, te damos estas 10 claves
Les attachements:
   • 10Claves.zip
   • Amor y Sexo



Sujet: Como Saber si le Gustas?
Le corps:
   • Te mueres por esa persona, pero no sabes si decirle algo, porque capaz no te da bola, con este test puedes descubrir detalles que te indiquen que siente por ti :)
Les attachements:
   • TestG.zip
   • My Page



Sujet: 100% Ideal
Le corps:
   • Participa en este rompecabezas, si se pudiera crear a la(el) Chica(o) Ideal escogiendo un rostro de aqui y una silueta de alla, como seria tu pareja Ideal?
Les attachements:
   • Ideal.zip
   • 100% Ideal



Sujet: Vision del Futuro
Le corps:
   • TodO hA sIdO Dad0
Les attachements:
   • TuFuturo.zip
   • Necromancia



Sujet: Que Raro
Le corps:
   • Miralo tu mismo
Les attachements:
   • QueRaro.zip
   • Que Raro



Sujet: Mail Delivery Return System
Le corps:
   • The information could not be a correspondent to one or more addressees.
Les attachements:
   • ReturnMsg.zip
   • ReturnMsg



Sujet: Hello %le nom d'utilisateur de l'adresse email du destinataire%
Le corps:
   • I ship You the info that you requested me, responds that such this, bye
Les attachements:
   • videoClip.zip
   • you Have a Mensage



Sujet: do you Know if they lie you?
Le corps:
   • The corporal language accuses the lie subtly, 5 tips to know if they are telling you the truth.
Les attachements:
   • Lie.zip
   • NotLie



Sujet: Manual gives Seduction
Le corps:
   • you Want to improve your success with the opposite sex, search keeps an eye on this text. that has useful advice.
Les attachements:
   • Seduc.zip
   • Art gives to Seduce



Sujet: %le nom d'utilisateur de l'adresse email du destinataire% you have a Virtual Gift
Le corps:
   • they have sent You a virtual Gift, this available one during 7 days, discharge it or enters to the link:)
Les attachements:
   • Virtual0034.zip
   • %le nom d'utilisateur de l'adresse email du destinataire%



Sujet: Gusanito.com
Le corps:
   • there is an available card for you on behalf of a friend. discharge it or enters to the link:)
Les attachements:
   • EL-Card.zip
   • Virtual Card



Sujet: Pictures in your email
Le corps:
   • XXX All Voucher XXX
Les attachements:
   • xImages.zip
   • you Look at me ;



Sujet: That there is behind a kiss
Le corps:
   • you Know that it means the form gives to kiss or that types and techniques exist, know them
Les attachements:
   • Kiss.zip
   • Kisses



Sujet: No Adware
Le corps:
   • are you changed the it paginates beginning he/she gives?, do they leave you windows publicity he/she gives, problems with dialers, troyanos or other adwares, does it prove this program free and do let us put an end to the insensitive one that the Adware is.
Les attachements:
   • CwshredderPlus.zip
   • to Clean Pc



Sujet: Sex Tantrico
Le corps:
   • Tantra: ancient discipline oriental to improve the sexual acting. Know it
Les attachements:
   • Sex_Tantra.zip
   • Sex Tantrico Images



Sujet: Hey %le nom d'utilisateur de l'adresse email du destinataire%
Le corps:
   • %le nom d'utilisateur de l'adresse email du destinataire% he/she looks at the image 30 second and then he/she looks to another part and truth at something surprising (good optic illusion, almost hallucination)
Les attachements:
   • IlusionI.zip
   • Images



Sujet: %le nom d'utilisateur de l'adresse email du destinataire% Looks at the picture
Le corps:
   • Looks at my picture;)
Les attachements:
   • Ph0t0.zip
   • My Album



Sujet: That means your name?
Le corps:
   • The names and the last names like all word have a meaning, the one which already in most he/she gives times or we don't remember, perhaps find the meaning he/she gives yours in our database:)
Les attachements:
   • SigName.zip
   • Your Name



Sujet: are you intelligent? ;)
Le corps:
   • The Father gives Sandra was an employee in an insurance company, lived modestly, tapeworm a medium house, a car very new no and a dog, but what the one wanted more they were its 3 daughters: Ana, Ane and... Like their other daughter was called?
Les attachements:
   • Riddles
   • Answer



Sujet: Hack Hotmail
Le corps:
   • you Wanted hackear one it counts gives hotmail at some time, then test this technique, and the good thing is that no you need to be a Hacker to use it
Les attachements:
   • HackHotmail.zip
   • HackHotmail



Sujet: Answer for %le nom d'utilisateur de l'adresse email du destinataire%
Le corps:
   • it is This way the life :(
     The answer to its order has been approved, with what becomes accrediting gives the advantages and discounts gives our I circulate, for but you detail sees text the assistant
Les attachements:
   • %le nom d'utilisateur de l'adresse email du destinataire% .zip
   • Admin Page



Sujet: Important for %username from receiver's email addre
Le corps:
   • Hello, you don't know me, but I ship you something that interested you, God willing it is you gives utility, bye
Les attachements:
   • _msg.zip
   • Message



Sujet: Click in the assistant and put earphone:)
Le corps:
   • you Listen to yourself this song, Letter to Santa Claus III ;)
Les attachements:
   • FuckSanta.zip
   • Play Song



Sujet: do you want to know how psychopath you are?
Le corps:
   • This is a test used for the I exercise gives states together to recruiting soldiers, it stops in simple words to measure how prone to the madness they are, and you go how released these.
Les attachements:
   • CrazyTest.zip
   • Test Here



Sujet: Drawings (This Very Good)
Le corps:
   • you Look at yourself this ;)
Les attachements:
   • Drawings.zip
   • MORE Drawings



Sujet: Osama Ben Laden the man that I declare the War to United States
Le corps:
   • That induced it to leave a possible life he gives luxuries, to go aboard in a sacred war against it USES, wise that the families give Bush and Osama they knew each other, find out he gives the true causes he gives their war
Les attachements:
   • Osama.zip
   • Osama Web



Sujet: PornStars Show
Le corps:
   • Looks at this scrensaver gives the actresses he/she gives the cinema porn
Les attachements:
   • PornStars.zip
   • PorStars All Access



Sujet: Alone the pure truth
Le corps:
   • it is This way the life :(
Les attachements:
   • e picture
   • Alone the pure truth



Sujet: 16 Pictures give the best doe gives Playboy
Le corps:
   • The best pictures give PlayBoy gives this year, it passes them ;)
Les attachements:
   • 16Playboy.zip
   • Planet PlayBoy



Sujet: I Warn Important
Le corps:
   • %le nom d'utilisateur de l'adresse email du destinataire% due to the reformations he/she gives the servant, it is asked the users to complete the new registration in order to validate their you count and don't be suspended. Sincerely AdminSystem"
Les attachements:
   • Registry.zip
   • New Registry



Sujet: Ten commandments give the Love and Sex
Le corps:
   • to Maintain a healthy loving relationship and upper demands a lot of effort and many desires, we give you these 10 keys
Les attachements:
   • 10Claves.zip
   • Love and Sex



Sujet: As Knowing if he Likes?
Le corps:
   • you die for that person, but you don't know if to tell him something, because capable doesn't give you ball, with this test you can discover specificses that indicate you that it feels for you :)
Les attachements:
   • TestG.zip
   • My Page



Sujet: 100% Ideal
Le corps:
   • %le nom d'utilisateur de l'adresse email du destinataire% does it Participate in this puzzle, if you could create to the Girl (or Boy) Ideal choosing a face gives here and does a silhouette give there, as serious your Ideal couple?
Les attachements:
   • Ideal.zip
   • 100% Ideal



Sujet: Vision gives the Future
Le corps:
   • Everything has Been given
Les attachements:
   • YourFuture.zip
   • Necromancy



Sujet: YourFuture.zip
Le corps:
   • you Look at it your same one
Les attachements:
   • ThatStrange.zip
   • That Strange


Pice jointe:

L'attachement est une copie du malware lui-mme.



L'email ressemble celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .htm
   • .txt
   • .php
   • .asp


viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • virus; master; persys; perant; abuse; report; panda; symantec; trend;
      avp; kasp; nod; support; admin; foo; iana; messagelab; microsoft; msn;
      anyone; bug; f-secur; free-av; google; help; info; linux; soporte;
      nobody; noone; noreply; rating; root; samples; sopho; spam; unix; upd;
      winrar; winzip


Serveur MX:
Il a la capacit de contacter un des serveurs MX suivants:
   • mdm@latinmail.com
   • mx1.hotmail.com
   • mdm@hotmail.com
   • correo.viabcp.com

 P2P Afin d'infecter d'autres systmes d'exploitation dans la communaut en rseau peer-to-peer, l'action suivante est entreprise:   Il cherche les partages rseau standards suivants:
   • appleJuice\incoming
   • eDonkey2000\incoming
   • Gnucleus\Downloads
   • Grokster\My Grokster
   • ICQ\shared files
   • Kazaa\My Shared Folder
   • Kazaa Lite\My Shared Folder
   • LimeWire\Shared
   • morpheus\My Shared Folder
   • Overnet\incoming
   • Shareaza\Downloads
   • Swaptor\Download
   • WinMX\My Shared Folder
   • Tesla\Files
   • XoloX\Downloads
   • Rapigator\Share
   • KMD\My Shared Folder
   • BearShare\Shared
   • Direct Connect\Recieved Files
   • eMule\Incoming
   • Kazaa Lite K++\My Shared Folder
   • My Downloads

   Il recherche tous les dossiers standard partags.

   En cas de succs, les fichiers suivants sont crs:
   • Quick Time Key Crack.exe; Ana Kournikova Sex Video.exe; AVP Antivirus
      Pro Key Crack.exe; Britney Spears Sex Video.exe; Buffy Vampire Slayer
      Movie.exe; Crack Passwords Mail.exe; Cristina Aguilera Sex Video.exe;
      Game Cube Real Emulator.exe; delphi.exe; Hentai Anime Girls Movie.exe;
      Jenifer Lopez Sex Video.exe; Matrix Movie.exe; Mcafee Antivirus Scan
      Crack.exe; Norton Anvirus Key Crack.exe; Panda Antivirus Titanium
      Crack.exe; PS2 PlayStation Simulator.exe; divx pro.exe; Sakura Card
      Captor Movie.exe; Sex Live Simulator.exe; Sex Passwords.exe; Spiderman
      Movie.exe; Start Wars Trilogy Movies.exe; Thalia Sex Video.exe; Winzip
      KeyGenerator Crack.exe; aol cracker.exe; aol password cracker.exe; GTA
      3 Crack.exe; GTA 3 Serial.exe; play station emulator.exe; virtua girl
      - adriana.exe; virtua girl - bailey short skirt.exe; Virtua Girl
      (Full).exe; warcraft 3 crack.exe; warcraft 3 serials.exe;
      counter-strike.exe; divx_pro.exe; HotGirls.exe; hotmail_hack.exe;
      pamela_anderson.exe; serials2000.exe; subseven.exe; VB6.exe;
      VirtualSex.exe; ACDSee 5.5.exe; Age of Empires 2 crack.exe; Animated
      Screen 7.0b.exe; AOL Instant Messenger.exe; AquaNox2 Crack.exe;
      Audiograbber 2.05.exe; BabeFest 2004 ScreenSaver 1.5.exe; Babylon
      3.50b reg_crack.exe; Battlefield1942_bloodpatch.exe;
      Battlefield1942_keygen.exe; DirectX InfoTool.exe; Business Card
      Designer Plus 7.9.exe; Clone CD 5.0.0.3 (crack).exe; Clone CD
      5.0.0.3.exe; Coffee Cup Free zip 7.0b.exe; Cool Edit Pro v2.55.exe;
      Diablo 2 Crack.exe; DirectDVD 5.0.exe; DirectX Buster (all
      versions).exe; DivX Video Bundle 6.5.exe; Download Accelerator Plus
      6.1.exe; DVD Copy Plus v5.0.exe; DVD Region-Free 2.3.exe; FIFA2004
      crack.exe; Final Fantasy VII XP Patch 1.5.exe; Flash MX crack
      (trial).exe; FlashGet 1.5.exe; FreeRAM XP Pro 1.9.exe; GetRight
      5.0a.exe; Global DiVX Player 3.0.exe; Gothic2 licence.exe; Guitar
      Chords Library 5.5.exe; Hitman_2_no_cd_crack.exe; Hot Babes XXX Screen
      Saver.exe; ICQ Pro 2004a.exe; SmartRipper v2.7.exe; ICQ Pro 2004b (new
      beta).exe; iMesh 3.6.exe; iMesh 3.7b (beta).exe; IrfanView 4.5.exe;
      KaZaA Hack 2.5.0.exe; KaZaA Speedup 3.6.exe; Links 2004 Golf game
      (crack).exe; Living Waterfalls 1.3.exe; Mafia_crack.exe; Matrix
      Screensaver 1.5.exe; MediaPlayer Update.exe; mIRC 6.40.exe; mp3Trim
      PRO 2.5.exe; MSN Messenger 5.2.exe; NBA2004_crack.exe; Need 4 Speed
      crack.exe; Nero Burning ROM crack.exe; Netfast 1.8.exe; SmartFTP
      2.0.0.exe; Network Cable e ADSL Speed 2.0.5.exe; NHL 2004 crack.exe;
      Nimo CodecPack (new) 8.0.exe; PalTalk 5.01b.exe; Popup Defender
      6.5.exe; Pop-Up Stopper 3.5.exe; QuickTime_Pro_Crack.exe; Serials 2004
      v.8.0 Full.exe; Space Invaders 1978.exe; Splinter_Cell_Crack.exe;
      Steinberg_WaveLab_5_crack.exe; Trillian 0.85 (free).exe; TweakAll
      3.8.exe; Unreal2_bloodpatch.exe; Unreal2_crack.exe;
      UT2004_bloodpatch.exe; UT2004_keygen.exe; UT2004_no cd (crack).exe;
      UT2004_patch.exe; WarCraft_3_crack.exe; Winamp 3.8.exe; WindowBlinds
      4.0.exe; WinOnCD 4 PE_crack.exe; WinZip 9.0b.exe; Yahoo Messenger
      6.0.exe; Zelda Classic 2.00.exe; Windows XP complete + serial.exe;
      Screen saver christina aguilera.exe; Screen saver christina aguilera
      naked.exe; Visual basic 6.exe; Starcraft serial.exe; Credit Card
      Numbers generator(incl Visa,MasterCard,...).exe; Edonkey2000-Speed me
      up scotty.exe; Hotmail Hacker 2004-Xss Exploit.exe; Kazaa SDK + Xbit
      speedUp for 2.xx.exe; Microsoft KeyGenerator-Allmost all microsoft
      stuff.exe; Netbios Nuker 2004.exe; Security-2004-Update.exe; Stripping
      MP3 dancer+crack.exe; Visual Basic 6.0 Msdn Plugin.exe; Windows Xp
      Exploit.exe; WinRar 3.xx Password Cracker.exe; WinZipped Visual C++
      Tutorial.exe; XNuker 2004 2.93b.exe; cable modem ultility pack.exe;
      macromedia dreamweaver key generator.exe; winamp plugin pack.exe;
      winzip full version key generator.exe; PerAntivirus 8.9.exe; The
      Hacker Antivirus 5.7.exe

   Ces fichiers sont copies du Malware.



Le dossier partag pourrait ressembler ce qui suit:


 Infection du rseau Il emploie les informations d'identification suivantes afin de gagner accs la machine distante:

La liste suivante de noms d'utilisateurs:
   • Andrea; Pamela; Patricia; Cristina; Adriana; Katherine; July; Vanessa;
      Jennifer; Karina; Janeth; Dulce; Bill; Alejandro; Dark; Bracho;
      Torres; Aguilar; Martinez; Lugo; Costa; Velarde; Varela; Helsim;
      Valencia; Mancilla; Braschi; Wong; Chang; Mora; Arana; Alvites; Start;
      Toledo; Flores; Garcia; Orellana; Hoyos; Perez; Campos; Humala;
      Alvarez; Valenzuela; Luque

La liste suivante de mots de passe:
   • "123"; "1234"; "12345"; "123456"; "1234567"; "12345678"; "654321";
      "54321"; "111"; "11111"; "111111"; "11111111"; "000000"; "00000000";
      "pass"; "5201314"; "88888888"; "888888"; "passwd"; "password";
      "database"; "test"; "server"; "computer"; "secret"; "oracle";
      "sybase"; "Internet"; "super"; "user"; "manager"; "public"; "private";
      "default"; "1234qwer"; "123qwe"; "abcd"; "abc123"; "123abc"; "abc";
      "123asd"; "dos"; "asdfgh"; "!@; $"; "!@; $%"; "!@; $%^"; "!@; $%^&";
      "!@; $%^&*"; "!@; $%^&*("; "!@; $%^&*()"; "intel"; "KKKKKKK"; "09876"


 IRC Propagation:
Le fichier Mirc.ini est modifi.

 Arrt de processus: Il essaye d'arrter le processus suivant et il supprime les fichiers correspondants:
   • avx; adaware; advxdwin; alevir; arr; auto-protect; Avg; avw; ahnsd;
      apvxdwin; anti-trojan; avsched32; avconsol; ackwin32; autodown; alert;
      amon; avmon; antivir; avsynmgr; avnt; avrep32; ants; atcon; atupdater;
      atwatch; autotrace; aplica32; atro55en; aupdate; autoupdate; avrescue;
      agent; avltmain; backweb; blackice; blackd; bd_professional; bidef;
      bidserver; bipcp; bisp; bootwarn; borg2; bs120; buscareg; clrav;
      claw95ct; cfiaudit; cfiadmin; cmgrdian; ctrl; cfind; cfinet; ccapp;
      claw95; cpd; cleanpc; cmon016; cpf9x206; cpfnt206; csinject; csinsm32;
      css1631; cwnb181; cwntdwmo; ccevtmgr; ccpxysvc; dv95; dvp95; defwatch;
      defalert; doors; deputy; dpf; drwatson; drweb32; drwebupw; efinet32;
      espwatch; esafe; efpeadm; etrustcipe; evpn; ecengine; eli; findviru;
      f-agnt95; frw; f-stopw; filemon; f-prot; fch32; fih32; fp-win; fsgk32;
      fnrb32; fsaa; fameh32; fast; fix-it; flowprotector; fp-win_trial;
      fsav; fsm; fwenc; gbmenu; gbpoll; generics; guard; hacktracer; htlog;
      icssuppnt; icload; iamapp; icsupp95; ibma; iomon98; icmo; iface; iams;
      ifw2000; iparmor; iris; isrv95; jed; jammer; kpf; kavlite; kerio;
      luall; lookout; lockdown; lucomserver; ldpromenu; luspt; ldnetmon;
      ldpro; localnet; lsetup; luau; luinit; mpftray; moolive; msconfig;
      monitor; mcmnhdlr; mctool; mcupdate; mcvsrte; mghtml; minilog;
      mcvsshld; mpfservice; mwatch; mcshield; mfw2en; mfweng3; mgavr; mgui;
      monsys; monwow; mrflux; msinfo32; mssmmc32; mu0311ad; mxtask; nav;
      netd32; nod32; nspclean; nmain; nvc95; nisum; nupgrade; per; nwtool16;
      normist; nisserv; nsched32; neowatchlog; nvsvc32; nwservice;
      ntxconfig; ntvdm; npssvc; npscheck; netutils; ndd32; notstart; nc2000;
      ncinst4; netarmor; netinfo; netmon; pav; netspyhunter; netstat; npf;
      nui; nvarch16; nvlaunch; nwinst4; nvapsvc; outpost; offguard;
      ostronet; procexp; pcfwallicon; programauditor; pop3trap; poproxy;
      pcntmon; padmin; pview95; pcc; pqremove; pfwcon; pfwagent; pfwsvc;
      prebind; panixk; pcdsetup; pcip10117_0; pf2; pfwadmin; platin;
      portdetective; ppinupdt; pptbc; ppvstop; procexplorerv1; proport;
      protect; purge; pccntmon; ping; qconsole; qserver; rav; regmon;
      rescue; rapapp; rtvscn95; rulaunch; regedit; regedt32; realmon;
      rshell; stinger; serv95; safeweb; symproxysvc; symtray; sphinx; smc;
      ss3edit; sbserv; swnetsup; sfc; schedapp; setupvameeval;
      setup_flowprotector_us; sgssfw32; shellspyinstall; shn; sofi; spf;
      srwatch; st2; supftrl; supporter5; sweep; sysdoc32; sysedit;
      sharedaccess; tbscan; tds; taumon; tcm; tfak; taskmon; tauscan; tc;
      tgbob; titanin; tracer; trjs; tmntsrv; undoboot; Update; vshwin32;
      vet; vsecomr; vbcmserv; vbcons; vir -help; vptray; vsmain; vsmon;
      vsstat; vettray; vcontrol; vbust; vbwin; vccmserv; vcsetup; vfsetup;
      vnlan300; vnpc3000; vpc; vpfw30s; vscenu6; vsisetup; vswin; vvstat;
      view; wfindv32; wimmun32; wgfe95; webtrap; watchdog; wradmin; wrctrl;
      w32dsm89; whoswatchingme; winrecon; winroute; winsfcm; wsbgate;
      zonealarm; zapro; zap; zcap; zatutor; zonestub; asdf; zlclient;
      zauinst; zonalm2601; taskmgr

Les processus avec les caractristiques suivantes sont arrts:
      Titre: %chane de caractres alatoire%     Nom de la classe: DirectUIHWND
      Titre: %chane de caractres alatoire%     Nom de la classe: RICHEDIT20a
      Titre: %chane de caractres alatoire%     Nom de la classe: RICHEDIT
      Titre: %chane de caractres alatoire%     Nom de la classe: ate32class

 Dtails de fichier Langage de programmation:
Le fichier a t crit en Visual Basic.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • UPX

Description insérée par Irina Boldea le mardi 6 décembre 2005
Description mise à jour par Andrei Gherman le lundi 30 janvier 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.