Nom:Worm/Recycled.A
La date de la découverte:11/12/2008
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:13824 Octets
Somme de contrôle MD5:23e7f5e4fd224edcf124fa39e76e3f24
Version VDF:7.00.04.201
Version IVDF:7.00.04.205 - mardi 17 juin 2008

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Win32/Hamweq.A
   •  Mcafee: DDoS-Leba
   •  Kaspersky: IRC-Worm.Win32.Small.t
   •  F-Secure: IRC-Worm.Win32.Small.t
   •  Sophos: W32/Autoham-Fam
   •  Grisoft: Worm/Generic.HGW
   •  Eset: Win32/AutoRun.KS
   •  Bitdefender: Backdoor.Agent.ZKX


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe



Il crée le répertoire suivant:
   • c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013



Le fichier suivant est créé:

– c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini Ceci est un fichier texte non malveillant avec le contenu suivant:
   • [.ShellClassInfo]
     CLSID={645FF040-5081-101B-9F08-00AA002F954E}

 Registre La clé de registre suivante est ajoutée:

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
   • StubPath="c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe"

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: hail.dns2go.**********
Port: 7000
Le mot de passe du serveur: 01470147
Pseudonyme: mtnelf

Serveur: scorti1.dns2go.**********
Port: 7000
Le mot de passe du serveur: 01470147
Pseudonyme: mtnelf


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • Joindre le canal IRC

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Tous les processus suivants:
   • firefox.exe
   • explorer.exe


 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Monica Ghitun le jeudi 11 décembre 2008
Description mise à jour par Monica Ghitun le mercredi 17 décembre 2008

Retour . . . .