Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:W32/Chir.B
La date de la dcouverte:30/08/2005
Type:Ver
En circulation:Oui
Infections signales Faible a moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen lev
Fichier statique:Non
Version IVDF:6.31.01.194 - mardi 30 août 2005

 Gnral Mthodes de propagation:
   • Email
   • Le rseau local


Les alias:
   •  Symantec: W32.Chir.B@mm
   •  Mcafee: W32/Chir.b@MM virus
   •  Kaspersky: Email-Worm.Win32.Runouce.b
   •  F-Secure: Email-Worm.Win32.Runouce.b
   •  Sophos: W32/Chir-B
   •  Panda: W32/Chir.B
   •  Grisoft: Win32/Chir.B@mm
   •  Eset: Win32/Chir.B worm
   •  Bitdefender: Win32.Parite.B


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre un fichier malveillant
   • Il emploie son propre moteur de courrier lectronique

 Dtection spciale Historique de la version:
La mis jour suivante du moteur a t cre afin d'amliorer la dtection:

     7.09.04.22/8.02.04.22   ( 20/07/2010 )

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\runouce.exe



Le fichier suivant est cr:

– Fichier cod MIME contenant sa propre copie:
   • Readme.eml

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Runonce"="%SYSDIR%\runouce.exe"

 Infecteur Mthode:

Cet infecteur direct cherche activement des fichiers pour les infecter

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.


Sujet:
Le suivant:
   • %nom d'utilisateur de l'adresse email de l'expditeur% is
      coming!



Pice jointe:
Le nom de fichier de l'attachement est:
   • PP.exe

L'attachement est une copie du malware lui-mme.

 Informations divers Mutex:
Il cre le Mutex suivant:
   • ChineseHacker-2


Chane de caractres:
Ensuite il contient la chane de caractres suivante:
   • Net Send * My god! Some one killed ChineseHacker-2 Monitor

Description insérée par Thomas Wegele le jeudi 13 novembre 2008
Description mise à jour par Andrei Ivanes le jeudi 23 décembre 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.