Nom:Worm/Soccer.A.1
La date de la découverte:19/06/2006
Type:Ver
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:39.904 Octets
Somme de contrôle MD5:18dae171a9bd885fbc83e89af23d0072
Version VDF:6.35.00.43
Version IVDF:6.35.00.50 - mercredi 21 juin 2006
L'heuristique:HEUR/Malware.Crypted.PSM

 Général Méthode de propagation:
   • Email


Les alias:
   •  Kaspersky: Email-Worm.Win32.Delf.v
   •  Sophos: W32/Sixem-A
   •  VirusBuster: I-Worm.Delf.QWI


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\msctools.exe



Les fichiers suivants sont créés:

– Un fichier qui contient des adresses d'e-mail collectées:
   • %SYSDIR%\cats2.jpg

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %SYSDIR%\cats.jpg




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://couplesexxx.com/tumbs/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\temps%plusieurs chiffres aléatoires%.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Delf.apo

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "nsdevice"="%SYSDIR%\msctools.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "nsdevice"="%SYSDIR%\msctools.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "nsdevice"="%SYSDIR%\msctools.exe"



La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL]
   • "mls"="%nombre%"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.


Le format des emails:
 


De: newsreader@hotmail.com
Sujet: Naked World Cup game set
Le corps:
   • Nudists are organising their own tribute to the world cup, by staging their own nude soccer game, though it is not clear how the teams will tell each other apart. Good photos ;)
L'attachement:
   • soccer_nudist.bmp.exe
 


De: todaynews@cnn.com
Sujet: Crazy soccer fans
Le corps:
   • Crazy soccer fans killed two teens, watch what they make on photos. Please report on this all who know.
L'attachement:
   • soccer_pics.jpg.exe
 


De: kellyjast@hotmail.com
Sujet: Please reply me Tomas
Le corps:
   • Halo Markus, i sent my nude pics. Please reply me with you nude photos ;). Best regard You Sweet Kitty
L'attachement:
   • kelly_nude_imgs.jpg.exe
 


De: hotnews@cnn.com
Sujet: Soccer fans killed five teens
Le corps:
   • Soccer fans killed five teens, watch what they make on photos. Please report on this all who know.
L'attachement:
   • soccer_fans.jpg.exe
 


De: lindasal@gmail.com
Sujet: My tricks for you
Le corps:
   • I wait you photos from New York. I sent my pics where i naked for you. Please reply me. Linda Salivan
L'attachement:
   • linda_bigtit.gif.exe

L'attachement est une copie du malware lui-même.



L'email pourrait ressembler à un des suivants:




 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • wab; adb; msg; dbx; mbx; mdx; eml; nch; txt; tbb; tbi; html; htm; xml;
      doc; rtf; xls; sht


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • abuse; admin; webmaster; support; submit; service; sendmail; secur;
      samples; ripe.; privacy; postmaster; panda; nothing; nodomai; nobody;
      mydomai; mozilla; linux; kernel; inpris; icrosof; ibm.com; google;
      example; contact; certific; borlan; berkeley; anyone; policy; apache;
      webmin; webmist; random; local; anonymous; addres; defend; kaspersk;
      mcafee; microsof; norton; symantec; virus; reply; report

 Arrêt de processus: La liste des processus qui sont terminés:
   • _AVP32.EXE; _AVPCC.EXE; _AVPM.EXE; AVP32.EXE; AVPCC.EXE; AVPM.EXE;
      AVP.EXE; iamapp.exe; iamserv.exe; FRW.EXE; blackice.exe; blackd.exe;
      zonealarm.exe; vsmon.exe; VSHWIN32.EXE; VSECOMR.EXE; WEBSCANX.EXE;
      AVCONSOL.EXE; VSSTAT.EXE; OUTPOST.EXE; REGEDIT.EXE; NETSTAT.EXE;
      TASKMGR.EXE; MSCONFIG.EXE; NAVAPW32.EXE; NAVW32.EXE; UPDATE.EXE


 Porte dérobée Serveur de contact:
Le suivant:
   • http://sextraf.com/ms/**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script PHP.


Il envoie de l'information au sujet de:
    • Les adresses email recueillies

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • FSG

Description insérée par Victor Tone le lundi 19 juin 2006
Description mise à jour par Andrei Ivanes le mercredi 21 juin 2006

Retour . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tous droits réservés.

Mon Compte

https:// Cet écran est crypté pour votre sécurité.