Nom:Worm/Zhelatin.ZI
La date de la découverte:22/07/2008
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Fichier statique:Non
Taille du fichier:90624 Octets
Somme de contrôle MD5:a9d0ed60fec2530a497554de364d5693
Version IVDF:7.00.05.148 - mardi 22 juillet 2008

 Général Méthodes de propagation:
   • Email
   • Le réseau local


Les alias:
   •  Kaspersky: Email-Worm.Win32.Zhelatin.aep
   •  Bitdefender: Dropped:Rootkit.Agent.AITJ


Plateformes / Systèmes d'exploitation:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers

 Fichiers Les fichiers suivants sont créés:

%WINDIR%\glok+serv.config Ceci est un fichier texte non malveillant avec le contenu suivant:
   • [config]
     [local]
     [peers]
     0000472DD17ECA4C2F0BB96FD7794A73=D9DA078C2AD400
     01006023137DA429CD240A468A5CFB77=D3F6E118166700
     0200AA5495413422502AAA57FB00CB2C=CA803A63585600
     0300EA776E0AA0591202531C3F0D4F53=7647B0A8321700
     04001B29A86C3570BF00D7351501460F=5C2E073C265300
     0500A71EC719C622B27ADE6BE2416463=C879C5BC09A100
     06001709255A3721431D0E69732E9551=3A4049CE049D00
     0700F41EF75A8D012D7D1F0C894B2F55=7C6B254D23A300
     0800BA60242320060233666E5C135067=3D11CBE4206900
     09004D0B336B44757A3D475AB0355C6D=76449C14337400
     0A0011554065B727F03B167C971C3136=599789651ABE00
     0B0082735501391F296AFA369A3BA822=DEE1913F504B00
     0C00387F7570B2105E017737C1283A7A=7B1600401B3300
     0D00F67D3654AC6C35099F55A41C6E67=44979EC5589400
     

%WINDIR%\glok+22bd-6274.sys Ensuite, il est exécuté après avoir été completment crée. Détecté comme: TR/Rootkit.Gen

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\System\ControlSet001\Services\glok+b89-6227
   • %WINDIR%\glok+b89-6227.sys

 Envoie de messages Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • postmaster@; root@; @avp.; panda; abuse; @messagelab; free-av; @foo;
      ntivi; admin; kasp; noone@; info@; help@; f-secur; @microsoft; rating@

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La création des adresses IP:
Il crée des adresses IP aléatoires et il essaye d'établir une connexion avec elles.

 La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.


Il cache les suivants:
– Ses propres fichiers
– Ses propres clés de registre

– Le fichier suivants:
   • glok+22bd-6274.sys
   • glok+serv.config

– Les clés de registre suivants:
   • HKLM\System\ControlSet001\Services\glok+b89-6227
   • HKLM\System\ControlSet001\Enum\Root\legacy_glok+b89-6227
   • HKLM\System\ControlSet001\Enum\Root\LEGACY_GLOK+B89-6227\0000


La méthode utilisée:
    • Caché de Interrupt Descriptor Table (IDT)

Se introduit dans la fonction API suivante: Se introduit dans les fonctions API suivantes:
   • ZwEnumerateKey
   • ZwEnumerateValueKey
   • ZwQueryDirectoryFile

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Viktor Graeber le mardi 22 juillet 2008
Description mise à jour par Viktor Graeber le mardi 22 juillet 2008

Retour . . . .