Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Kolabc.fsz
La date de la découverte:06/02/2009
Type:Ver
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:543.232 Octets
Somme de contrôle MD5:326b2b8f11e060d69964fd589fac6b92
Version IVDF:7.01.01.236 - vendredi 6 février 2009

 Général Méthode de propagation:
   • Autorun feature (fr)
   • Le réseau local
   • Programme de messagerie


Les alias:
   •  Mcafee: W32/Spybot.worm.gen
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/Boberog.I
   •  Bitdefender: Win32.Worm.Kolabc.O


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\wmisvmgr.exe
   • \RECYCLER\%CLSID%\openfiles.exe



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

\RECYCLER\%CLSID%\Desktop.ini
\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\WMISMGR]
   • "Description"="Auto-Syncs Patches and Hotfixes."
   • "DisplayName"="Windows Sync-Manager"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,2E,00,73,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\wmisvmgr.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Les clés de registre suivantes sont changées:

– [HKLM\SYSTEM\CurrentControlSet\Control]
   La nouvelle valeur:
   • "WaitToKillServiceTimeout"="7000"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   La nouvelle valeur:
   • "GON"="%le fichier exécuté%"

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– AIM Messenger
– MSN Messenger

Le URL se rapporte alors à une copie du malware décrit. Si l'utilisateur télécharge et exécute ce fichier le procédé d'infection commencera encore.

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– Une liste de noms d'utilisateurs et de mots de passe:
   • staff; teacher; student; intranet; lan; main; winpass; blank; office;
      control; xp; nokia; hp; siemens; compaq; dell; cisco; ibm; oracle;
      orainstall; sqlpassoainstall; sql; sa; db1234; db2; db1;
      databasepassword; data; databasepass; dbpassword; dbpass; access;
      database; domainpassword; domainpass; domain; hello; hell; god; sex;
      slut; bitch; fuck; exchange; backup; technical; loginpass; login;
      mary; katie; kate; george; eric; chris; ian; neil; lee; brian; susan;
      sue; sam; luke; peter; john; mike; bill; fred; joe; jen; bob; qwe;
      zxc; asd; qaz; win2000; winnt; winxp; win2k; win98; windows;
      oeminstall; oemuser; oem; user; homeuser; home; accounting; accounts;
      internet; www; web; outlook; mail; qwerty; null; root; server; system;
      default; changeme; linux; unix; demo; none; guest; test; 2004; 2003;
      2002; 2001; 2000; 1234567890; 123456789; 12345678; 1234567; 123456;
      12345; 1234; 123; 12; 007; pwd; pass; pass1234; passwd; password;
      password1; adm; admin; admins; administrat; administrateur;
      administrador; administrator



La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
– MS06-040 (Vulnérabilité dans Service de Serveur)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde le premier octet de son propre adresse. Ensuite il essaye d'établir une connexion avec les adresses créées.


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: sec.republicofskorea.info
Port: 8082
Canal: #sploit
Pseudonyme: [00|USA|XP|%nombre%]

 Porte dérobée Le port suivant est ouvert:
sur le port TCP 12960 afin de fournir un serveur HTTP

 Informations divers Anti debugging
Il vérifie si une des fichiers suivants est présent:
   • \\.\SICE
   • \\.\NTICE


 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le jeudi 4 mars 2010
Description mise à jour par Petre Galan le jeudi 4 mars 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.