Nom:Worm/Koobfa.75264.D
La date de la découverte:07/07/2010
Type:Ver
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:75.264 Octets
Somme de contrôle MD5:86ad4190c37cd92a417cf71ca8d6aafc
Version IVDF:7.10.09.33 - mercredi 7 juillet 2010

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Bitdefender: Trojan.Generic.KD.8086
   •  Panda: W32/Koobface.KG.worm
   •  Eset: Win32/Koobface.NCT


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %lecteur%\windows\bill108.exe



Il écrase les fichiers suivants.
%WINDIR%\bill120.exe
%WINDIR%\bill108.exe
%WINDIR%\bk23567.dat



Il supprime sa propre copie, exécutée initialement



Il supprime les fichiers suivants:
   • %HOME%\Local Settings\Application Data\rdr_1281069652.exe
   • %TEMPDIR%\zpskon_1281079908.exe
   • %lecteur%\h.tmp
   • %TEMPDIR%\captcha.bat
   • %lecteur%\1.bat
   • %TEMPDIR%\zpskon_1281077066.exe
   • %lecteur%\3.reg
   • %le dossier d'exécution du malware%\SelfDel.bat



Les fichiers suivants sont créés:

%lecteur%\3.reg Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

%le dossier d'exécution du malware%\df1a245s4_1284.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dropper.Gen

%TEMPDIR%\zpskon_1281078711.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Backdoor.Gen

%lecteur%\windows\bk23567.dat
%TEMPDIR%\zpskon_1281079908.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dropper.Gen

– %HOME%\Local Settings\Application Data\0535049569854.xxe
%TEMPDIR%\captcha.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.
%temporary internet files%\v2captcha21[1].exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.19456.86

%temporary internet files%\migdal.org.il[1].exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dropper.Gen

%WINDIR%\dxxdv34567.bat
%lecteur%\h.tmp Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Qhost.2560

%le dossier d'exécution du malware%\SelfDel.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.
%temporary internet files%\loader[1].exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dropper.Gen

%temporary internet files%\hostsgb3[1].exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/ATRAPS.Gen

%lecteur%\1.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.
%temporary internet files%\ws[1].exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Backdoor.Gen

– %HOME%\Local Settings\Application Data\01005199495648.xxe
– %HOME%\Local Settings\Application Data\rdr_1281069652.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.19456.86

%PROGRAM FILES%\webserver\webserver.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Backdoor.Gen

%SYSDIR%\captcha.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Spy.19456.86

– %HOME%\Local Settings\Application Data\0991021011025699.xxe
%TEMPDIR%\zpskon_1281077066.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/ATRAPS.Gen

%SYSDIR%\drivers\etc\hosts Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Qhost.2560

%lecteur%\windows\bill120.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dropper.Gen




Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://www.usenet4all.ch/**********/?action=%chaîne de caractères%&v=%nombre%&crc=%nombre%


– L'emplacement est le suivant:
   • http://www.goo**********.com/


– L'emplacement est le suivant:
   • http://bushdecor.com/**********/?action=%chaîne de caractères%&v=%nombre%&crc=%nombre%


– Les emplacements sont les suivants:
   • http://lode-willems.be/**********/?action=%chaîne de caractères%&v=%nombre%&crc=%nombre%
   • http://lode-willems.be/**********/?action=%chaîne de caractères%&mode=%chaîne de caractères%&age=%nombre%&a=%chaîne de caractères%&v=%nombre%&c_fb=%nombre%&iedef=%nombre%&ie=%chaîne de caractères%
   • http://lode-willems.be/**********/?getexe=%chaîne de caractères%
   • http://lode-willems.be/**********/?getexe=%chaîne de caractères%
   • http://lode-willems.be/**********/?getexe=%chaîne de caractères%
   • http://lode-willems.be/**********/?getexe=%chaîne de caractères%


– L'emplacement est le suivant:
   • http://u07012010u.com/**********/?uptime=%nombre%&v=%nombre%&sub=%nombre%&ping=%nombre%&hits=%nombre%&noref=%nombre%&port=%nombre%&ftp=%nombre%&proxy=%nombre%


– L'emplacement est le suivant:
   • http://www.hoganjobs.com/**********/?action=%chaîne de caractères%&v=%nombre%&crc=%nombre%


– L'emplacement est le suivant:
   • http://silverbirdgroup.com/**********/?action=%chaîne de caractères%&v=%nombre%&crc=%nombre%


– L'emplacement est le suivant:
   • http://migdal.org.il/adm/**********


– L'emplacement est le suivant:
   • http://www.sevenpinesstables.com/**********/?getexe=%chaîne de caractères%


– L'emplacement est le suivant:
   • http://www.wttcmi.com/**********/?action=%chaîne de caractères%&v=%nombre%&crc=%nombre%


– Les emplacements sont les suivants:
   • http://www.powertreecorp.com/**********/?action=%chaîne de caractères%&v=%nombre%&crc=%nombre%
   • http://www.powertreecorp.com/**********/?action=%chaîne de caractères%&a=%chaîne de caractères%&v=%nombre%&c_fb=%nombre%&ie=%chaîne de caractères%




Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • %WINDIR%\bill108.exe


– Nom de fichier: Noms des fichiers:
   • %TEMPDIR%\\zpskon_1281078711.exe


– Nom de fichier: Noms des fichiers:
   • cmd /c SelfDel.bat


– Nom de fichier: Noms des fichiers:
   • reg add HKLM\Software\Microsoft\Windows\CurrentVersion /v Port /t REG_DWORD /d 237


– Nom de fichier: Noms des fichiers:
   • netsh add allowedprogram "%PROGRAM FILES%\webserver\webserver.exe" webserver ENABLE


– Nom de fichier: Noms des fichiers:
   • netsh firewall add portopening TCP 237 webserver ENABLE


– Nom de fichier: Noms des fichiers:
   • netsh firewall add portopening TCP 4000 webserver ENABLE


– Nom de fichier: Noms des fichiers:
   • "%HOME%\Local Settings\Application Data\rdr_1281069652.exe"


– Nom de fichier: Noms des fichiers:
   • cmd /c "%HOME%\Local Settings\Application Data\rdr_1281069652.exe" /res >%temp%\captcha.bat


– Nom de fichier: Noms des fichiers:
   • "%HOME%\Local Settings\Application Data\rdr_1281069652.exe" /res


– Nom de fichier: Noms des fichiers:
   • netsh firewall add portopening TCP 53 webserver ENABLE


– Nom de fichier: Noms des fichiers:
   • cmd /c %WINDIR%\dxxdv34567.bat


– Nom de fichier: Noms des fichiers:
   • cmd /c "%temp%\captcha.bat"


– Nom de fichier: Noms des fichiers:
   • netsh firewall add allowedprogram name="captcha" program="%SYSDIR%\svchost.exe" mode=ENABLE


– Nom de fichier: Noms des fichiers:
   • sc create "webserver" binPath= "%PROGRAM FILES%\webserver\webserver.exe" type= share start= auto


– Nom de fichier: Noms des fichiers:
   • sc create "captcha" type= share start= auto binPath= "%SYSDIR%\svchost.exe -k captcha"


– Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\webserver" /v FailureActions /t REG_BINARY /d 00000000000000000000000003000000140000000100000060EA00000100000060EA00000100000060EA0000 /f


– Nom de fichier: Noms des fichiers:
   • sc start "webserver"


– Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha\parameters" /v ServiceDll /t REG_EXPAND_SZ /d "%SYSDIR%\captcha.dll" /f


– Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v FailureActions /t REG_BINARY /d 00000000000000000000000003000000140000000100000060EA00000100000060EA00000100000060EA0000 /f


– Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v Type /t REG_DWORD /d 288 /f


– Nom de fichier: Noms des fichiers:
   • reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost" /v captcha /t REG_MULTI_SZ /d "captcha\0" /f


– Nom de fichier: Noms des fichiers:
   • df1a245s4_1284.exe


– Nom de fichier: Noms des fichiers:
   • rundll32 captcha,ServiceMain


– Nom de fichier: Noms des fichiers:
   • %le dossier d'exécution du malware%\df1a245s4_1284.exe


– Nom de fichier: Noms des fichiers:
   • %WINDIR%\bill120.exe


– Nom de fichier: Noms des fichiers:
   • regedit /s c:\2.reg


– Nom de fichier: Noms des fichiers:
   • %TEMPDIR%\\zpskon_1281077066.exe


– Nom de fichier: Noms des fichiers:
   • cmd /c c:\1.bat


– Nom de fichier: Noms des fichiers:
   • %TEMPDIR%\\zpskon_1281079908.exe


– Nom de fichier: Noms des fichiers:
   • %TEMPDIR%\zpskon_1281079908.exe

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "sysfbtray"="%WINDIR%\bill120.exe"



Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "237:TCP"="237:TCP:*:Enabled:webserver"
   • "4000:TCP"="4000:TCP:*:Enabled:webserver"
   • "53:TCP"="53:TCP:*:Enabled:webserver"



Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "tp"="1000"

– [HKLM\SYSTEM\CurrentControlSet\Services\webserver]
   • "FailureActions"=hex:b'\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x14\x00\x00\x00\x01\x00\x00\x00`\xea\x00\x00\x01\x00\x00\x00`\xea\x00\x00\x01\x00\x00\x00`\xea\x00\x00'

– [HKLM\SYSTEM\CurrentControlSet\Services\captcha]
   • "FailureActions"=hex:b'\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x14\x00\x00\x00\x01\x00\x00\x00`\xea\x00\x00\x01\x00\x00\x00`\xea\x00\x00\x01\x00\x00\x00`\xea\x00\x00'

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   • "captcha"="captcha"

– [HKLM\SOFTWARE\Policies\Microsoft\Windows Defender]
   • "DisableAntiSpyware"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\
   Microsoft\NAP\Netsh]
   • "Active"=dword:0x00000001
   • "ControlFlags"=dword:0x00000001
   • "LogSessionName"="stdout"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\
   Microsoft\NAP\Netsh\Napmontr]
   • "BitNames"=" NAP_TRACE_BASE NAP_TRACE_NETSH"
   • "Guid"="710adbf0-ce88-40b4-a50d-231ada6593f0"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "Port"=dword:0x000000ed

– [HKLM\SYSTEM\CurrentControlSet\Services\captcha\parameters]
   • "ServiceDll"="%SYSDIR%\captcha.dll"



La clé de registre suivante est changée:

– [HKLM\SYSTEM\CurrentControlSet\Services\captcha]
   La nouvelle valeur:
   • "Type"=dword:0x00000120

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS04-007 (ASN.1 Vulnerability)

 Hôtes Le fichier hôte est modifié, comme il est expliqué:

– L'accès au lien URL suivant est redirigé vers une autre destination :
   • 85.13.206.115 u07012010u.com


Description insérée par Petre Galan le vendredi 6 août 2010
Description mise à jour par Petre Galan le vendredi 6 août 2010

Retour . . . .