Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Net.Kolab.ffa
La date de la découverte:02/12/2009
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:131.072 Octets
Somme de contrôle MD5:231a88d2a59c17c413c669af7b0586e7
Version IVDF:7.10.01.159 - mercredi 2 décembre 2009

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Mcafee: W32/Kolab
   •  Panda: W32/Kolabc.BD.worm
   •  Eset: IRC/SdBot
   •  Bitdefender: Worm.Generic.103572


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\ccdrive32.exe




Il essaie de télécharger un ficher:

– Les emplacements sont les suivants:
   • http://www.nippon.to/cgi-bin/**********
   • http://www.cooleasy.com/cgi-bin/**********
   • http://www.mcreate.net/cgi-bin/envchk/**********
   • http://kuwago.hp.infoseek.co.jp/cgi-bin/nph/**********
   • http://www.cship.info/cgi-bin/**********
   • http://obsoletegod.com/cgi-bin/**********
   • http://www16.tok2.com/home/aquemai/cgi-bin/**********
   • http://mobi-sys.ru/img/**********

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Driver Setup"="%WINDIR%\ccdrive32.exe"



La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "Microsoft Driver Setup"="%WINDIR%\ccdrive32.exe"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnérabilité dans Service de Serveur)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde le premier octet de son propre adresse. Ensuite il essaye d'établir une connexion avec les adresses créées.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: x00000000.in**********.com
Port: 47221
Le mot de passe du serveur: letmein
Pseudonyme: [N00_USA_XP_%nombre%]

 Arrêt de processus: La liste des processus qui sont terminés:
   • VIPRE.EXE; ISSDM_EN_32.EXE; P08PROMO.EXE; K7TS_SETUP.EXE;
      AVINSTALL.EXE; WITSETUP.EXE; TrendMicro_TISPro_16.1_1063_x32.EXE;
      VBA32-PERSONAL-LATEST-ENGLISH.EXE; CCSETUP210.EXE; FSMB32.EXE;
      FSGK32.EXE; FSAV95.EXE; FSAV530WTBYB.EXE; FSAV530STBYB.EXE;
      FSAV32.EXE; FSAV.EXE; FSAA.EXE; FPROT.EXE; FP-WIN.EXE; FNRB32.EXE;
      FIH32.EXE; FCH32.EXE; FAST.EXE; FAMEH32.EXE; F-STOPW.EXE;
      F-PROT95.EXE; F-PROT.EXE; AFMAIN.EXE; SPIDERUI.EXE; SPIDERNT.EXE;
      ALERTMAN.EXE; RAVMOND.EXE; MAKEREPORT.EXE; BOXMOD.EXE; 360SAFE.EXE;
      360RPT.EXE; 360HOTFIX.EXE; 360TRAY.EXE; NSVMON.NPC; NSAVSVC.NPC;
      NPCGREENAGENT.NPC; PUSCAN.EXE; AYSERVICENT.AYE; AYAGENT.AYE;
      CMDAGENT.EXE; CPF.EXE; VSMON.EXE; ZLCLIENT.EXE; NSUTILITY.EXE;
      NSPUPDT.EXE; NAVQSCAN.EXE; NSPMAIN.EXE; NSPUPSVC.EXE; NSPSVC.EXE;
      MKSADMINCONSOLE.EXE; MKSUPDATE.EXE; MKSPC.EXE; MKSFWALL.EXE;
      MKSVIRMONSVC.EXE; MKS_SCAN.EXE; MKS_MAIL.EXE; MKSREGMON.EXE;
      KAVPFW.EXE; KASMAIN.EXE; KAV32.EXE; KPFWSVC.EXE; KISSVC.EXE;
      KWATCH.EXE; KPFW32.EXE; KAVSTART.EXE; KVSRVXP.EXE; KVOL.EXE; KVXP.KXP;
      KVMONXP.KXP; CAVASM.EXE; CMAIN.EXE; ARCABIT.CORE.LOGGINGSERVICE.EXE;
      ARCABIT.CORE.CONFIGURATOR2.EXE; TASKSCHEDULER.EXE; UPDATE.EXE;
      NETMONSV.EXE; FILEMONSV.EXE; ABREGMON.EXE.EXE; ARCACHECK.EXE;
      ARCAVIR.EXE; AVMENU.EXE; A2HIJACKFREE.EXE; A2SERVICE.EXE; A2START.EXE;
      A2SCAN.EXE; A2GUARD.EXE; VRFWSVC.EXE; HFACSVC.EXE; VRMONSVC.EXE;
      HPCSVC.EXE; HSVCMOD.EXE; VRMONNT.EXE; MKSTRAY.EXE; VBA32ADS.EXE;
      VBA32LDR.EXE; FILELOCKSETUP.EXE; TSCFCOMMANDER.EXE; TMPROXY.EXE;
      TMPFW.EXE; TMBMSRV.EXE; UFNAVI.EXE; UFSEAGNT.EXE; TISSPWIZ.EXE;
      SFCTLCOM.EXE; TNBUTIL.EXE; DEFWATCH.EXE; RTVSCAN.EXE; SBAMSVC.EXE;
      SBAMUI.EXE; SBAMTRAY.EXE; SAVADMINSERVICE.EXE; SAVSERVICE.EXE;
      SCFSERVICE.EXE; SCFMANAGER.EXE; RAVTASK.EXE; CCENTER.EXE; ULIBCFG.EXE;
      RAVLITE.EXE; PCTAV.EXEPCTAVSVC.EXEPXCONSOLE.EXEPXAGENT.EXERAV.EXE;
      PCTSAUXS.EXE; PCTSTRAY.EXE; PCTSSVC.EXE; PCTSGUI.EXE; AVGAS.EXE;
      PAVBCKPT.EXE; WEBPROXY.EXE; PAVSRV51.EXESRVLOAD.EXE; PSIMSVC.EXE;
      PSHOST.EXE; AVENGINE.EXE; PSKMSSVC.EXE; PAVPRSRV.EXE; PAVFNSVR.EXE;
      PSCTRLS.EXE; TPSRV.EXE; NOD32M2.EXE; NOD32CC.EXE; NOD32.EXE;
      NMAIN.EXE; NOD32KUI.EXE; MSASCUI.EXE; MSMPENG.EXE; MCUPDATE.EXE;
      MCSHIELD.EXE; MCVSSHLD.EXE; MCVSRTE.EXE; MCAGENT.EXE; KAVSVC.EXE;
      KAV.EXE; K7TSMNGR.EXE; K7SPMSRC.EXE; K7RTSCAN.EXE; K7PSSRVC.EXE;
      K7FWSRVC.EXE; K7EMLPXY.EXE; K7TSECURITY.EXE; K7SYSTRY.EXE;
      VIRUSUTILITIES.EXE; GUARDXSERVICE.EXE; GUARDXKICKOFF.EXE; AVKWCTL.EXE;
      AVKTUNERSERVICE.EXE; AVKSERVICE.EXE; GDFWSVC.EXE; AVKPROXY.EXE;
      GDFIRE~1.EXE; AVKTRAY.EXE; GDFIREWALLTRAY.EXE; FSAUA.EXE;
      NOD32KRN.EXE; FSMA32.EXE; FSDFWD.EXE; FSGK32ST.EXE; FSM32.EXE;
      FPWIN.EXE; FPAVSERVER.EXE; FPROTTRAY.EXE; INICIO.EXE; UMXPOL.EXE;
      UMXFWHLP.EXE; UMXAGENT.EXE; UMXCFG.EXE; PPCLTPRIV.EXE; SVCPRS32.EXE;
      ITMRTSVC.EXE; CCPROVSP.EXE; MDMCLS32.EXE; CAGLOBALLIGHT.EXE;
      CAPFUPGRADE.EXE; CAPFASEM.EXE; CAFW.EXE; CFGMNG32.EXE; CCTRAY.EXE;
      CLAMTRAY.EXE; CLAMWIN.EXE; ALSVC.EXE; ALMON.EXE; DRWEBSCD.EXE;
      SPIDERML.EXE; DRWEB32W.EXE; ACS.EXE; STRTSVC.EXE; OP_MON.EXE;
      SENSOR.EXE; QHFW332.EXE; CATEYE.EXE; ONLNSVC.EXE; EMLPROUI.EXE;
      UPSCHD.EXE; SCANMSG.EXE; SCANWSCS.EXE; EMLPROXY.EXE; ONLINENT.EXE;
      ASWCLNR.EXE; BDAGENT.EXE; VSSERV.EXE; LIVESRV.EXE; XCOMMSVR.EXE;
      UISCAN.EXE; BDSS.EXE; AVGUI.EXE; AVGUPD.EXE; AVGSCANX.EXE; AVGEMC.EXE;
      AVGUPSVC.EXE; AVGAMSVR.EXE; AVGWDSVC.EXE; ASHWEBSV.EXE; ASHMAISV.EXE;
      ASWUPDSV.EXE; ASHSERV.EXE; ASHDISP.EXE; AVCENTER.EXE; SCHED.EXE;
      AVIRARKD.EXE; AVGNT.EXE; AVGUARD.EXE; AHNSDSV.EXE; ACAIS.EXE;
      ACALS.EXE; ACAEGMGR.EXE; ACAAS.EXE; QOELOADER.EXE; APVXDWIN.EXE;
      QUHLPSVC.EXE; 123.EXE; RAVP.EXEMBAM.EXE123.COM; UNLOCKER1.8.7.EXE;
      UNIEXTRACT.EXE; SYSANALYZER_SETUP.EXE; STARTDRECK.EXE; SPF.EXE;
      REGX2.EXE; REGSHOT.EXE; REGSCANNER.EXE; REGISTRAR_LITE.EXE;
      REGCOOL.EXE; REGALYZ.EXE; PROJECTWHOISINSTALLER.EXE; PROCMON.EXE;
      CUREIT.EXE; FIXBAGLE.EXE; PGSETUP.EXE; OBJMONSETUP.EXE; NETALYZ.EXE;
      KILLBOX.EXE; INSTALLWATCHPRO25.EXE; AVENGER.EXE; IEFIX.EXE;
      HOSTSFILEREADER.EXE; FIXPATH.EXE; FILEFIND.EXE; FILEALYZ.EXE;
      EULALYZERSETUP.EXE; A2HIJACKFREESETUP.EXE; DLLCOMPARE.EXE;
      CPROCESS.EXE; CPORTS.EXE; ASVIEWER.EXE; APT.EXE; APM.EXE;
      WIRESHARK.EXE; SPYBOTSD.EXE; TEATIMER.EXE; SPYBOTSD160.EXE;
      PROCESSMONITOR.EXE; PROCDUMP.EXE; PG2.EXE; LORDPE.EXE; ICESWORD.EXE;
      REANIMATOR.EXE; ROOTKITNO.EXE; RKD.EXE; HACKMON.EXE; UNHACKME.EXE;
      ROOTKIT_DETECTIVE.EXE; AVGARKT.EXE; FSB.EXE; FSBL.EXE;
      ROOTKITREVEALER.EXE; PSKILL.EXE; TASKMON.EXE; TASKLIST.EXE;
      TASKMAN.EXE; PROCEXP.EXE; MSNFIX.EXE; HIJACKTHIS_V2.EXE;
      HIJACKTHIS.EXE; HIJACKTHIS_SFX.EXE; HJTSETUP.EXE; HJTINSTALL.EXE;
      OLLYDBG.EXE; NETSTAT.EXE; PORTMONITOR.EXE; PORTDETECTIVE.EXE;
      FPORT.EXE; APORTS.EXE; PAVARK.EXE; DARKSPY105.EXE; HELIOS.EXE;
      ROOTKITBUSTER.EXE; ROOTALYZER.EXE; BC5CA6A.EXE; SEEM.EXE;
      DELAYDELFILE.EXE; DUBATOOL_AV_KILLER.EXE; SUPERKILLER.EXE;
      KAKASETUPV6.EXE; BUSCAREG.EXE; MSNCLEANER.EXE; SRESTORE.EXE;
      BOOTSAFE.EXE; SUPERANTISPYWARE.EXE; CCLEANER.EXE;
      REGUNLOCKER.EXETSNTEVAL.EXEXP_TASKMGRENAB.EXE; CF9409.EXE; GMER.EXE;
      CATCHME.EXE; SDFIX.EXE; COMBOFIX.EXE; SRENGPS.EXE; AUTORUNS.EXE;
      TASKKILL.EXE; REGEDIT.EXE; REG.EXE; MYPHOTOKILLER.EXE;
      KILLAUTOPLUS.EXE; FOLDERCURE.EXE; REGEDIT.SCR; REGEDIT.COM; MMC.EXE;
      TCPVIEW.EXE; LISTO.EXE; GUARD.EXE; NTVDM.EXE; COMMAND.COM;
      COMBOFIX.COM; COMBOFIX.SCR; COMBOFIX.BAT; REGMON.EXE;
      OTMOVEIT.EXEMBAM-SETUP.EXE; JAJA.EXE; AVZ.EXE; MBAM.EXE;
      MBAM-SETUP.EXE; PENCLEAN.EXE; ELISTA.EXE; HJ.EXE;
      WINDOWS-KB890930-V2.2.EXE; MRTSTUB.EXE; MRT.EXE; HIJACK-THIS.EXE;
      VIRUS.EXE; SAFEBOOTKEYREPAIR.EXEOTMOVEIT3.EXEHOSTSXPERT.EXEDAFT.EXE;
      ATF-CLEANER.EXE; COMPAQ_PROPIETARIO.EXE; SRENGLDR.EXE; HOOKANLZ.EXE


 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le mercredi 17 mars 2010
Description mise à jour par Petre Galan le mercredi 17 mars 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.