Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Joleee.evq
La date de la découverte:31/05/2010
Type:Ver
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:54.784 Octets
Somme de contrôle MD5:68cb014659cd5eb7fbee5096090ee3a0
Version IVDF:7.10.07.200 - lundi 31 mai 2010

 Général Les alias:
   •  Sophos: Mal/FakeAV-CZ
   •  Bitdefender: Trojan.Bredolab.BX
   •  Panda: Bck/Bredolab.AZ
   •  Eset: Win32/SpamTool.Tedroo.AF


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il modifie des registres
   • Il emploie son propre moteur de courrier électronique

 Fichiers Il écrase un fichier.
%WINDIR%\explorer.exe



Il supprime sa propre copie, exécutée initialement




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://74.222.1.78/set/**********

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"



La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   • "id"="9E7C01C66934"
   • "remove"="%le fichier exécuté%"

 Email Il contient un moteur SMTP intégré pour envoyer des emails SPAM. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– Les adresses créées


Sujet:
Le sujet de l'email est construit de ce que suit:

    Il commence avec un des suivants:
   • %l'adresse email du destinataire%

    Continué par un des suivants:
   • September

   • 44% OFF


Corps:
– Il contient du code HTML

   • Dear %l'adresse email du destinataire%
     Get ready to make her happy.
     Discount price store: ID74827
     http://groups.yahoo.com/group/vzzmotfvu/message
     We do guarantee high-quality medications, instant worldwide delivery and friendly support.
     © 2001-2010 Pfizer Inc. All rights reserved.

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le mercredi 15 septembre 2010
Description mise à jour par Petre Galan le mercredi 15 septembre 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.