Nom:Worm/VB.BV.4
La date de la découverte:12/03/2008
Type:Ver
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:93.612 Octets
Somme de contrôle MD5:0Bdddbd11165827f0C0A86b578ce5bef
Version VDF:6.38.00.39
Version IVDF:6.38.00.40 - lundi 12 mars 2007

 Général Méthode de propagation:
   • Mapped network drives


Les alias:
   •  Mcafee: W32/USBCasv
   •  Kaspersky: Worm.Win32.VB.fp
   •  F-Secure: Worm.Win32.VB.fp
   •  Eset: Win32/VB.FP
   •  Bitdefender: Worm.Win32.VB.BV


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %TEMPDIR%\s.exe
   • %SYSDIR%\odbcasvc.exe
   • %SYSDIR%\Recycled\INFO.EXE
   • %lecteur%:\Recycled\INFO.EXE


Archivage:
Le Malware crée les archives dans lequels les fichiers sont enregistrés.

On analyse l'archive suivant:
   • %WINDIR%\Microsoft.NET\Debug\Temp\

On analyse le type de fichier suivant:
   • .log

Voilà le nom du fichier comprimé:
   • %la date courante%_%le temps courant%.uda



Il copie les fichiers suivants:
    •  %tous les dossiers%\*.doc en %WINDIR%\Microsoft.NET\Debug\Temp\%chaîne de caractères aléatoire%.log
    •  %tous les dossiers%\*.xls en %WINDIR%\Microsoft.NET\Debug\Temp\%chaîne de caractères aléatoire%.log
    •  %tous les dossiers%\*ppt en %WINDIR%\Microsoft.NET\Debug\Temp\%chaîne de caractères aléatoire%.log



Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %SYSDIR%\Recycled\desktop.ini
   • %lecteur%:\Recycled\desktop.ini

%SYSDIR%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

%lecteur%:\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

%WINDIR%\uda.exe

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\odbcasvc.EXE
   • DisplayName = ODBC Administration Service
   • ObjectName = LocalSystem
   • Description = Microsoft Data Access - ODBC Administration Service

 Email Il n'a pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:


Le format des emails:
 


De: esmtp01@tom.com
A: esmtp01@tom.com
Sujet: Spider%nombre%[%le nom de l'ordinateur%\%le nom d'utilisateur courant%]
L'attachement:
   • current date%_%le temps courant%.uda

L'attachement est une copie du fichier créé: %WINDIR%\Microsoft.NET\Debug\Temp\%la date courante%_%le temps courant%.uda

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Irina Diaconescu le mercredi 30 juillet 2008
Description mise à jour par Andrei Gherman le jeudi 31 juillet 2008

Retour . . . .