Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Koobface.exa
La date de la découverte:08/02/2010
Type:Ver
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:59.392 Octets
Somme de contrôle MD5:339e910b5aec569e30a73362fa4a851b
Version IVDF:7.10.03.235 - lundi 8 février 2010

 Général Les alias:
   •  Mcafee: W32/Koobface.worm.gen.e
   •  Panda: W32/Koobface.JT.worm
   •  Eset: Win32/Koobface.NCL
   •  Bitdefender: Worm.Generic.225291


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\freddy84.exe



Il supprime sa propre copie, exécutée initialement



Il supprime les fichiers suivants:
   • %le dossier d'exécution du malware%\sd.dat
   • %WINDIR%\dxxdv34567.bat
   • c:\3.reg



Les fichiers suivants sont créés:

– c:\3.reg Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

%WINDIR%\dxxdv34567.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.
%le dossier d'exécution du malware%\sd.dat
%WINDIR%\bk23567.dat



Il essaie de télécharger un ficher:

– Les emplacements sont les suivants:
   • http://mm2dc.com/**********/?action=&v=%nombre%&crc=%nombre%
   • http://welovetweet.com/**********/?action=&v=%nombre%&crc=%nombre%
   • http://dentistschoice-fl.com/**********/?action=&v=%nombre%&crc=%nombre%
   • http://optimumorg.com/**********/?action=&v=%nombre%&crc=%nombre%
   • http://optimumorg.com/**********/?action=&mode=&age=%nombre%&a=%nombre%&v=%nombre%&crc=%nombre%&ie=
   • http://beautiteen.hostmaniacs.com/**********/?action=&v=%nombre%&crc=%nombre%
   • http://whoffmanchiro.com/**********/?action=&v=%nombre%&crc=%nombre%
   • http://pactivefranchises.com/**********/?action=&v=%nombre%&crc=%nombre%
   • http://mag5.kiev.ua/**********/?action=&v=%nombre%&crc=%nombre%
   • http://cia.gg/**********/?action=&v=%nombre%&crc=%nombre%
   • http://greystoneofellijay.com/**********/?action=&v=%nombre%&crc=%nombre%
   • http://ilivemusic.co.il/**********/?action=&v=%nombre%&crc=%nombre%
   • http://miltecit.co.uk/**********/?action=&v=%nombre%&crc=%nombre%




Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • %WINDIR%\freddy84.exe


– Nom de fichier: Noms des fichiers:
   • cmd /c %WINDIR%\dxxdv34567.bat


– Nom de fichier: Noms des fichiers:
   • regedit /s c:\2.reg

 Registre La clé de registre suivante est ajoutée:

– [HKCR\Mime\Database\Content Type\application/xhtml+xml]
   • "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"
   • "Encoding"=hex:08,00,00,00
   • "Extension"=".xml"

 Informations divers  Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • http://www.google.com

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le mercredi 7 avril 2010
Description mise à jour par Petre Galan le mercredi 7 avril 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.