Description complète

Nom:	Worm/Koobface.cju
La date de la découverte:	10/11/2009
Type:	Ver
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	40.960 Octets
Somme de contrôle MD5:	35db3190c235dcbfc5e235e632599f48
Version IVDF:	7.01.06.216 - mardi 10 novembre 2009

Général Les alias:
   • Mcafee: W32/Koobface.worm.gen.s
   • Panda: W32/Koobface.HC.worm
   • Eset: Win32/Koobface.NCK
   • Bitdefender: Worm.Generic.98708

Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée des fichiers malveillants
   • Il modifie des registres

Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\ld15.exe

Il supprime sa propre copie, exécutée initialement

Il supprime les fichiers suivants:
   • C:\vx\sd.dat
   • %WINDIR%\dxxdv34567.bat

Le fichier suivant est créé:

– %WINDIR%\dxxdv34567.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

Il essaie de télécharger un ficher:

– Les emplacements sont les suivants:
   • http://ita-eg.com/**********/?action=ldgen&v=15
   • http://cleopatra.com.cy/**********/?action=ldgen&v=15
   • http://www.preferredflood.com/**********/?action=ldgen&v=15
   • http://videoleverage.com/**********/?action=ldgen&v=15
   • http://www.electronicstoday.org/**********/?action=ldgen&v=15
   • http://daveshieldsmedia.com/**********/?action=ldgen&v=15
   • http://www.redcode.rs/**********/?action=ldgen&v=15
   • http://abbottpainting.com/**********/?action=ldgen&v=15
   • http://nippontrading.se/**********/?action=ldgen&v=15
   • http://www.thedeathsquadmovement.com/**********/?action=ldgen&v=15
   • http://sigmai.co.il/**********/?action=ldgen&v=15
   • http://rowanhenderson.com/**********/?action=ldgen&v=15
   • http://www.electronicstoday.org/**********/?action=ldgen&a=544453496&v=15&l=1000&c_fb=0&c_ms=0&c_hi=0&c_tw=0&c_be=0&c_tg=0&c_nl=0
   • http://mm2dc.com/**********/?action=ldgen&v=15
   • http://stopreporter.com/**********/?action=ldgen&v=15
   • http://www.alkhoei.org/**********/?action=ldgen&v=15
   • http://www.ceutelcottage.nl/**********/?action=ldgen&v=15
   • http://veggiemama.com.hk/**********/?action=ldgen&v=15
   • http://www.folcon-mex.com/**********/?action=ldgen&v=15
   • http://lagrucostruzioni.it/**********/?action=ldgen&v=15
   • http://davedolbin.com/**********/?action=ldgen&v=15
   • http://liezerserv.com/**********/?action=ldgen&v=15
   • http://rjupnahaed.kopavogur.is/**********/?action=ldgen&v=15
   • http://exceleronmedical.com/**********/?action=ldgen&v=15
   • http://static.e-lady.pl/**********/?action=ldgen&v=15
   • http://delawyers.com/**********/?action=ldgen&v=15
Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "sysldtray"="%WINDIR%\ld15.exe"

La clé de registre suivante est changée:

– [HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   La nouvelle valeur:
   • "ProxyEnable"=dword:0x00000000

Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le vendredi 12 mars 2010
Description mise à jour par Petre Galan le vendredi 12 mars 2010

Retour . . . .

Protection avancée pour votre PC

Produits gratuits

Les plus populaires

Tous les produits

Offres groupées

Stations de travail

Server

Offres groupées

Mail Gateways

Web Gateways

Plateformes collaboratives

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils