Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:W32/Chir.B
La date de la découverte:30/08/2005
Type:Ver
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen à élevé
Fichier statique:Non
Version IVDF:6.31.01.194 - mardi 30 août 2005

 Général Méthodes de propagation:
   • Email
   • Le réseau local


Les alias:
   •  Symantec: W32.Chir.B@mm
   •  Mcafee: W32/Chir.b@MM virus
   •  Kaspersky: Email-Worm.Win32.Runouce.b
   •  F-Secure: Email-Worm.Win32.Runouce.b
   •  Sophos: W32/Chir-B
   •  Panda: W32/Chir.B
   •  Grisoft: Win32/Chir.B@mm
   •  Eset: Win32/Chir.B worm
   •  Bitdefender: Win32.Parite.B


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier malveillant
   • Il emploie son propre moteur de courrier électronique

 Détection spéciale Historique de la version:
La mis à jour suivante du moteur a été créée afin d'améliorer la détection:

   •  7.09.04.22/8.02.04.22   ( 20/07/2010 )

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\runouce.exe



Le fichier suivant est créé:

– Fichier codé MIME contenant sa propre copie:
   • Readme.eml

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Runonce"="%SYSDIR%\runouce.exe"

 Infecteur Méthode:

Cet infecteur direct cherche activement des fichiers pour les infecter

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.


Sujet:
Le suivant:
   • %nom d'utilisateur de l'adresse email de l'expéditeur% is
      coming!



Pièce jointe:
Le nom de fichier de l'attachement est:
   • PP.exe

L'attachement est une copie du malware lui-même.

 Informations divers Mutex:
Il crée le Mutex suivant:
   • ChineseHacker-2


Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
   • Net Send * My god! Some one killed ChineseHacker-2 Monitor

Description insérée par Thomas Wegele le jeudi 13 novembre 2008
Description mise à jour par Andrei Ivanes le jeudi 23 décembre 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.