Nom:Worm/Drefir.E
La date de la découverte:24/06/2005
Type:Ver
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:128.328 Octets
Somme de contrôle MD5:33be61dcfce0efaf88fda9adda4ddf7c
Version IVDF:6.31.00.108 - vendredi 24 juin 2005

 Général Méthode de propagation:
   • Email


Les alias:
   •  Mcafee: W32/Drefir.worm
   •  Sophos: W32/Dref-C
   •  Panda: W32/Drefir.E.worm
   •  Eset: Win32/Drefir.E
   •  Bitdefender: Win32.Worm.Drefir.E.DAM@MM


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier malveillant
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\SysDrefIWv2.exe

 Registre On ajoute une valeur à chaque clé de registre afin de lancer les processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "DrefIW"="%SYSDIR%\SysDrefIWv2.exe



Les clés de registre suivantes sont changées:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   La nouvelle valeur:
   • "%le dossier d'exécution du malware%\%le fichier exécuté%" = "%le dossier d'exécution du malware%\%le fichier exécuté%:*:Enabled:%le fichier exécuté%"

Désactive le Pare-feu du Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   La nouvelle valeur:
   • "Start" = 00000004

 Email Il utilise MAPI (Messaging Application Programming Interface) afin d'envoyer des messages. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est le compte Outlook de l'utilisateur.


A:
– les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Un des suivants:
   • just read it,its fantastic
   • here are the porn you asked me to show you...
   • here are the programms you asked me to mail you
   • for any help,mail me back
   • please read again what i have written to you !
   • here are the pictures you asked me to send you.
   • My Story
   • Your Stuff
   • Your Files



Pièce jointe:
Le nom de fichier de l'attachement est un des suivants:
   • Story.scr
   • linda.scr
   • musicbox.exe
   • mail.scr
   • pictures_1.exe
   • My Life.rar
   • porn.rar
   • package1.rar
   • info.rar
   • pictures.rar

L'attachement est une copie du malware lui-même.

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: irc.e**********.net
Port: 6667

Serveur: eu.u**********.org
Port: 6667

Serveur: us.u**********.org
Port: 6667

Serveur: irc.d**********.net
Port: 6667

Serveur: irc.r**********.net
Port: 6667

Serveur: irc.fr.i**********.net
Port: 6667

Serveur: irc.i**********.ee
Port: 6667

Serveur: random.i**********.de
Port: 6667

Serveur: irc.us.i**********.net
Port: 6667

Serveur: irc.q**********.org
Port: 6667

Serveur: leak.e**********.co.uk
Port: 8080
Canal: #irc


– Ensuite il a la capacité d'opérer des actions tel que:
    • Envoyer des e-mails
    • Visiter un site web

 Informations divers  Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • http://www.google.com/

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le vendredi 5 février 2010
Description mise à jour par Petre Galan le vendredi 5 février 2010

Retour . . . .