Nom:WORM/Jorik.A
La date de la découverte:29/09/2010
Type:Ver
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:58.880 Octets
Somme de contrôle MD5:08e2f9f6bfaab01036d290b44b3122c7
Version VDF:7.10.05.118
Version IVDF:7.10.12.84 - mercredi 29 septembre 2010

 Général Méthodes de propagation:
   • Le réseau local
   • Programme de messagerie


Les alias:
   •  Mcafee: W32/YahLover.worm
   •  Kaspersky: Trojan.Win32.Jorik.IRCbot.io
   •  TrendMicro: WORM_IRCBOT.ANA
   •  Sophos: Mal/PushBot-A
   •  Panda: W32/LoLbot.N.worm
   •  VirusBuster: Worm.Yimfoca!VfGiV1JD0h4
   •  Eset: Win32/Yimfoca.AA
   •  AhnLab: Win-Trojan/Seint.58880.B
   •  DrWeb: BackDoor.IRC.Bot.673
   •  Fortinet: W32/Jorik_IRCbot.IO!tr
   •  Ikarus: Trojan.Win32.Jorik


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Ouvre le site Internet dans le navigateur web
   • Il vole de l'information

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %TEMPDIR%\facebook-pic00005267.exe
   • %WINDIR%\nvsvc32.ext
   • %WINDIR%\nvsvc32.exe



Il supprime le fichier suivant:
   • %WINDIR%\nvsvc32.ext



Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %WINDIR%\mdlu.dl
   • %WINDIR%\wintybrd.png
   • %WINDIR%\wintybrdf.jpg

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"



Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%le dossier d'exécution du
      malware%\sample.exe"="%WINDIR%\nvsvc32.exe:*:Enabled:NVIDIA driver
      monitor"



La clé de registre suivante est changée:

– [HKLM\SYSTEM\ControlSet001\Services\wuauserv]
   La nouvelle valeur:
   • "Start"=dword:00000004

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– AIM Messenger
– Skype
– Yahoo Messenger


A:
Tous les entrés de la liste de contacts:

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: server.**********com
Port: 1234
Le mot de passe du serveur: xxx
Canal: #!nn!
Pseudonyme: NEW-[USA|00|P|%plusieurs chiffres aléatoires% ]
Mot de passe: test

Serveur: 213-229-**********550.net
Port: 1234
Le mot de passe du serveur: xxx
Canal: #!nn!
Pseudonyme: NEW-[USA|00|P|%plusieurs chiffres aléatoires% ]
Mot de passe: test



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Information sur le réseau
    • Nom d'utilisateur


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • se déconnecter du serveur IRC
    • Télécharger un fichier
    • Exécuter un fichier
    • Joindre le canal IRC
    • Quitter la canal IRC
    • Démarrer une routine de propagation
    • Terminer un processus

 Vol d'informations – il emploie un analyseur de réseau qui vérifie la chaîne de caractères suivante :
   • cpa; lead; google; bing; yahoo; live; mail; microsoft; window;
      aricles; vidr; rush; porn; sex; tube; adult; gllo; xnxx; xvideos;
      kyarticl; lmsarchiv; rticleslo; fuck; afemo; fullarti; i24searc;
      article; kanaa; enthou; iggarti; virus; myspace; postart; perbizsear;
      m-new; cpalead; freeart; astmo; cpa; lead; outu; daddie; porn; gay;
      adobe; geshac

 Informations divers Connexion Internet:
Afin de vérifier sa connexion Internet, les serveurs DNS suivants sont contactés
   • astro.ic.ac.uk
   • ale.pakibili.com
   • versatek.com
   • journalofaccountancy.com
   • transnationale.org
   • mas.0730ip.com
   • stayontime.info
   • www.shearman.com
   • ds.phoenix-cc.net
   • insidehighered.com
   • ate.lacoctelera.net
   • websitetrafficspy.com
   • qun.51.com
   • summer-uni-sw.eesp.ch
   • xxx.stopklatka.pl
   • unclefed.com
   • mcsp.lvengine.com
   • deirdremccloskey.org
   • journals.lww.com
   • middleastpost.org
   • mas.archivum.info
   • scribbidyscrubs.com
   • mas.mtime.com
   • ols.systemofadown.com
   • tripadvisor.com
   • mas.tguia.cl
Accède à des ressources Internet :
   • http://174.37.2**********x.php
   • http://www.myspace.com/browse/people
   • http://www.myspace.com/help/browserunsupported
   • 174.37.200.82 : 80
   • 216.178.38.224 : 80
   • 63.135.80.46 : 80
   • 64.208.241.41 : 80
   • 69.63.181.15 80

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Alexandru Dinu le mercredi 16 mars 2011
Description mise à jour par Alexandru Dinu le mercredi 16 mars 2011

Retour . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tous droits réservés.

Mon Compte

https:// Cet écran est crypté pour votre sécurité.