Nom:Worm/RBo.20480.12.A
La date de la découverte:05/05/2008
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:20.480 Octets
Somme de contrôle MD5:0A9b70150A5b4de8895b459776580Dc6
Version VDF:7.0.04.017
Version IVDF:7.0.04.018

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


L'alias:
   •  Kaspersky: Trojan.Win32.Mondera.gen


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il bloque l'accès aux certains sites web
   • Il bloque l'accès aux sites web de sécurité
   • Il télécharge un fichier
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\msninbox.exe



Il supprime sa propre copie, exécutée initialement

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • MSN Messenger Inbox Loader="msninbox.exe"

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: nagasaki.japancorporation.**********
Port: 9103
Le mot de passe du serveur: su1c1d3
Canal: #net
Pseudonyme: \00\USA\%chaîne de caractères aléatoire de 10 digits%
Mot de passe: n3t!



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • L'ID de la plateforme
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Télécharger un fichier
    • Éditer le registre
    • Exécuter un fichier
    • Quitter la canal IRC
    • Visiter un site web

 Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées existantes sont écrasées

– L'accès aux liens URL suivants est effectivement bloqué :
   • 127.0.0.1 jayloden.com; 127.0.0.1 www.jayloden.com;
      127.0.0.1 www.spywareinfo.com; 127.0.0.1 spywareinfo.com;
      127.0.0.1 www.spybot.info; 127.0.0.1 spybot.info;
      127.0.0.1 kaspersky.com; 127.0.0.1 kaspersky-labs.com;
      127.0.0.1 www.kaspersky.com; 127.0.0.1 www.majorgeeks.com;
      127.0.0.1 majorgeeks.com; 127.0.0.1 securityresponse.symantec.com;
      127.0.0.1 symantec.com; 127.0.0.1 www.symantec.com;
      127.0.0.1 updates.symantec.com;
      127.0.0.1 liveupdate.symantecliveupdate.com;
      127.0.0.1 liveupdate.symantec.com; 127.0.0.1 customer.symantec.com;
      127.0.0.1 update.symantec.com; 127.0.0.1 www.sophos.com;
      127.0.0.1 sophos.com; 127.0.0.1 www.virustotal.com;
      127.0.0.1 virustotal.com; 127.0.0.1 www.mcafee.com;
      127.0.0.1 mcafee.com; 127.0.0.1 rads.mcafee.com;
      127.0.0.1 mast.mcafee.com; 127.0.0.1 download.mcafee.com;
      127.0.0.1 dispatch.mcafee.com; 127.0.0.1 us.mcafee.com;
      127.0.0.1 www.trendsecure.com; 127.0.0.1 trendsecure.com;
      127.0.0.1 www.viruslist.com; 127.0.0.1 viruslist.com;
      127.0.0.1 www.hijackthis.de; 127.0.0.1 hijackthis.de;
      127.0.0.1 f-secure.com; 127.0.0.1 www.f-secure.com;
      127.0.0.1 Merijn.org; 127.0.0.1 www.Merijn.org; 127.0.0.1 www.avp.com;
      127.0.0.1 avp.com; 127.0.0.1 analysis.seclab.tuwien.ac.at;
      127.0.0.1 www.bleepingcomputer.com; 127.0.0.1 bleepingcomputer.com;
      127.0.0.1 trendmicro.com; 127.0.0.1 www.trendmicro.com;
      127.0.0.1 www.safer-networking.org; 127.0.0.1 safer-networking.org;
      127.0.0.1 grisoft.com; 127.0.0.1 www.grisoft.com




Le fichier hôte modifié ressemblera à ceci:


 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus :
   • Explorer.exe


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Monica Ghitun le jeudi 7 août 2008
Description mise à jour par Monica Ghitun le jeudi 7 août 2008

Retour . . . .