Worm/IM.Guap.a - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/IM.Guap.a
La date de la découverte:	22/08/2005
Type:	Ver
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible a moyen
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	57.344 Octets
Somme de contrôle MD5:	64B2695C0F8B25A89581C25618E2096B
Version VDF:	6.31.1.154

Général Méthode de propagation:
   • Programme de messagerie

Les alias:
   • Mcafee: W32/Generic.worm!p2p
   • Kaspersky: IM-Worm.Win32.Guap.a
   • Bitdefender: Win32.Worm.Guap.A

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il bloque l'accès aux certains sites web
   • Il bloque l'accès aux sites web de sécurité
   • Il diminue les réglages de sécurité
   • Il modifie des registres

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\pkguard32.exe

Le fichier suivant est créé:

– %WINDIR%\hosts

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • PK Guard"="%SYSDIR%\pkguard32.exe"

Les clés suivantes sont en permanence ajoutées aux registres, dans une boucle infinie, afin de lancer les processus après le redémarrage.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • PK Guard"="%SYSDIR%\pkguard32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • PK Guard"="%SYSDIR%\pkguard32.exe"

Les clés de registre suivantes sont changées:

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   L'ancienne valeur:
   • "Start"=dword:00000002
   La nouvelle valeur:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   L'ancienne valeur:
   • "Start"=dword:00000002
   La nouvelle valeur:
   • "Start"=dword:00000004

Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– AIM Messenger
– Yahoo Messenger
– Windows Messenger

A:
Tous les entrés de la liste de contacts:

Message
Le message envoyé ressemble à celui-ci:

   • It repeatedly sends the following line to all of the user's contacts:
     Hehe, take a look at this funny game %lien%

%lien%
Tandis que le wildcard est le suivant :
   • http://**********games.yaboo.dk/Monkye.exe

Le URL se rapporte alors à une copie du malware décrit. Si l'utilisateur télécharge et exécute ce fichier le procédé d'infection commencera encore.

Hôtes Le fichier hôte est modifié, comme il est expliqué:

– L'accès aux liens URL suivants est effectivement bloqué :
   • www.symantec.com; symantec.com; securityresponse.symantec.com;
      sarc.com; www.sarc.com; www.sophos.com; sophos.com; www.mcafee.com;
      mcafee.com; liveupdate.symantecliveupdate.com; www.viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; f-prot.com;
      www.f-prot.com; kaspersky.com; kaspersky-labs.com; www.avp.com;
      avp.com; www.kaspersky.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      vil.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.trendmicro.com; housecall.trendmicro.com;
      pandasoftware.com; www.pandasoftware.com; www.trendmicro.com;
      free.grisoft.com; www.grisoft.com; grisoft.com; clamav.net;
      www.clamav.net; free-av.com; www.free-av.com; www.avast.com;
      avast.com; cert.org; www.cert.org; www.microsoft.com; microsoft.com;
      www.virustotal.com; virustotal.com; update.microsoft.com;
      windowsupdate.microsoft.com

Le fichier hôte modifié ressemblera à ceci:

Arrêt de processus: La liste des services qui sont désactivés:
• Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
• Automatic Updates

Porte dérobée Le port suivant est ouvert:

– %SYSDIR%\pkguard32.exe sur un port UDP aléatoire

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Voir la description brève ici.

Description inséré par Andrei Gherman sur Tue, 23 Aug 2005 08:48 (GMT+1)
Description mise à jour par Oliver Auerbach sur Wed, 07 Sep 2005 18:43 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour