Worm/Savage.B - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/Savage.B
La date de la découverte:	07/09/2005
Type:	Ver
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Moyen
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	51.200 Octets
Somme de contrôle MD5:	2c7482ca657f3ef1bd4d5c88abe204e5
Version VDF:	6.31.1.200

Général Méthodes de propagation:
   • Email
   • Peer to Peer

Les alias:
   • Mcafee: W32/Savage.gen@MM
   • Kaspersky: Email-Worm.Win32.Savage.b
   • TrendMicro: WORM_SAVAGE.A
   • F-Secure: W32/Savage.A@mm
   • VirusBuster: I-Worm.Savage.B
   • Bitdefender: Win32.Savage.B@mm

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il bloque l'accès aux sites web de sécurité
   • Arrêt les applications de sécurité
   • Il télécharge un fichier
   • Il emploie son propre moteur de courrier électronique
   • Il diminue les réglages de sécurité
   • Il modifie des registres

Juste après l'exécution il lance une application windows qui affiche le fenêtre suivante:

Fichiers Il s'autocopie dans l'emplacement suivant:
   • %sysdir%\lsasrv.exe

Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %temp%\Me^sa~e4%

– %sysdir%\version.ini
– %sysdir%\iexplor.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
– %sysdir%\shlapiw.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • **********est.org.uk/imp/lost/wm/comms.txt
Il est sauvegardé sur le disque dur local à l'emplacement: %sysdir%\upd.ini

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "lsass"="%le dossier d'exécution du malware%\%le fichier exécuté%"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="explorer.exe %le dossier d'exécution du malware%\%le fichier exécuté%"

Les valeurs de la clé de registre suivante sont supprimées:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "windows auto update"="penis32.exe"
   • "Microsoft Inet Xp.."="teekids.exe"
   • "windows auto update"="msblast.exe"
   • "System MScvb"="%Windir%\mscvb32.exe"
   • "sysinfo.exe"="sysinfo.exe"
   • "PandaAVEngine"="%Windir%\PandaAVEngine.exe"
   • "TaskMon" = "taskmon.exe"

Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\iexplore.exe]
   • "Debugger"="%le dossier d'exécution du malware%\%le fichier exécuté%""

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SSavage]

Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:

De:
L'adresse de l'expéditeur est falsifiée.
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.

A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)
– Les adresses créées

Sujet:
Un des suivants:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Attention!!!
   • Mail Delivery System
   • hello
   • Do not reply to this email
   • Good day

Corps:
– Il contient du code HTML

Le corps de l'email est un des suivants:

   • You think it's funny? You are stupid idiot!!! I'll send the attachment to your ISP and then I'll be watching how you will go to jail, punk!!!

   • Attention! New self-spreading virus!


     Be careful, a new self-spreading virus called "RTSW.Smash" spreading very fast via e-mail and P2P networks. It's about two million people infected and it will be more.
     To avoid your infection by this virus and to stop it we provide you with full information how to protect yourself against it and also including free remover. Your can find it in the attachment.


     p 2004 Networks Associates Technology, Inc. All Rights Reserved

   • New terms and conditions for credit card holders


     Here a new terms and conditions for credit card holders using a credit cards for making purchase in the Internet in the attachment. Please, read it carefully. If you are not agree with new terms and conditions do not use your credit card in the World Wide Web.

     Thank you,
     The World Bank Group
     " 2004 The World Bank Group, All Rights Reserved

   • Thank you for registering at WORLDXXXPASS.COM


     All your payment info, login and password you can find in the attachment file.

     It's a real good choise to go to WORLDXXXPASS.COM

   • Attention! Your IP was logged by The Internet Fraud Complaint Center


     Your IP was logged by The Internet Fraud Complaint Center. There was a fraud attempt logged by The Internet Fraud Complaint Center from your IP. This is a serious crime, so all records was sent to the FBI.
     All information you can find in the attachment. Your IP was flagged and if there will be anover attemption you will be busted.


      This message is brought to you by the Federal Bureau of Investigation and the National White Collar Crime Center

   • You have visited illegal websites.
I have a big list of the websites you surfed.

   • Mail transaction failed. Partial message is available.

   • The message contains Unicode characters and has been sent as a binary attachment.

   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

   • Do not visit these sites!!!

   • Your credit card was charged for $500 USD. For additional information see the attachment

   • ESMTP [Secure Mail System 334]: Secure message is attached.

   • Encrypted message is available.

   • Delivered message is attached.

   • Can you confirm it?

   • Binary message is available.

   • am shocked about your document!

   • Are you a spammer? (I found your email on a spammer website!?!)

   • Bad Gateway: The message has been attached.

Pièce jointe:
Le nom de fichier de l'attachement est:
   • tmp.zip

L'attachement est une copie du malware lui-même.

Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • wab; adb; tbb; dbx; asp; edm; vbs; wml; jst; tpl; conf; vbp; csp; asm;
      asc; asa; dwt; lbi; rdf; rss; xst; xsd; dlt; xml; jsp; inc; ssi; stm;
      xht; htc; hta; cgi; php; sht; htm; html; txt

La création des adresses pour les champs À et DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; alice; brent; adam; ted; fred; jack; bill; stan; smith; steve;
      matt; dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg;
      brian; jim; maria; leo; jose; andrew; sam; george; david; kevin; mike;
      james; michael; alex; john

Il combine celle-ci avec les domaines de la liste suivante ou des adresses trouvées dans les fichiers du systèmes.

Le domaine est un de ceux qui suivent:
   • trendmicro.com; nai.com; networkassociates.com; mcaffe.com;
      symantec.com; avp.com; compuserve.com; juno.com; earthlink.net;
      yahoo.co.uk; hotmail.com; yahoo.com; msn.com; aol.com

Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • accoun; certific; listserv; ntivi; support; admin; page; the.bat;
      gold-certs; feste; submit; not; help; service; privacy; somebody;
      soft; contact; rating; bugs; you; your; someone; anyone; nothing;
      nobody; noone; webmaster; postmaster; samples; info; root; be_loyal:;
      mozilla; utgers.ed; tanford.e; pgp; asketst; secur; isc.o; isi.e;
      ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido; linux;
      kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix; berkeley;
      foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example; inpris;
      borlan; sopho; panda; icrosoft; syma; avp; abuse; www; spam; spm; .edu

Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:

– Il cherche les répertoires suivants:
   • %progdir%\eDonkey2000\incoming
   • %progdir%\LimeWire\Shared

   Il recherche les dossiers partagés en questionnant les clés de registre suivantes :
   • [HKCU\Software\Kazaa\Transfer\DlDir0]
   • [HKCU\SOFTWARE\Morpheus\Install_Dir]
   • [HKCU\SOFTWARE\iMesh\Client\DownloadDir]

   Il cherche les partages réseau standards suivants:
   • Kazaa
   • Morpheus
   • iMesh

   En cas de succès, les fichiers suivants sont créés:
   • porno
   • NeroBROM6.3.1.25
   • avpprokey
   • Ad-awareref01R344
   • winxp_sp2patch
   • adultsitespasswds
   • dcom_patch
   • K-LiteCodecPack2.32a
   • activation_crack
   • icq2004-final
   • winamp5

   Ces fichiers sont copies du Malware.

Hôtes Le fichier hôte est modifié, comme il est expliqué:

– L'accès aux liens URL suivants est effectivement bloqué :
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      www.f-secure.com; f-secure.com; kaspersky.com; kaspersky-labs.com;
      www.avp.com; avp.com; www.kaspersky.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      www.my-etrust.com; my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; www.nai.com; nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      www.trendmicro.com; trendmicro.com; www.grisoft.com; grisoft.com;
      downloads1.kaspersky.com; downloads2.kaspersky.com;
      ftp.downloads1.kaspersky-labs.com; ftp.downloads2.kaspersky-labs.com;
      updates1.kaspersky-labs.com; updates3.kaspersky-labs.com;
      updates2.kaspersky-labs.com

Le fichier hôte modifié ressemblera à ceci:

Arrêt de processus: La liste des processus qui sont terminés:
   • i11r54n4; irun4; d3dupdate; rate; ssate; winsys; winupd; SysMon;
      bbeagle; Penis32; teekids; MSBLAST; mscvb32; sysinfo; PandaAVEngine;
      taskmon; wincfg32; outpost; zonealarm; navapw32; navw32; zapro;
      msblast; netstat

La liste des services qui sont désactivés:
   • wscsvc
   • SharedAccess
   • Norton Program Scheduler
   • KAVMonitorService
   • OutpostFirewall

Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Thu, 08 Sep 2005 12:15 (GMT+1)
Description mise à jour par Iulia Diaconescu sur Mon, 19 Sep 2005 14:40 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour