Worm/Goldun.A - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/Goldun.A
La date de la découverte:	12/09/2005
Type:	Ver
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Faible a moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	20.049 Octets
Somme de contrôle MD5:	a1f9189a474ca1b73dff4ebe05621981
Version VDF:	6.31.1.230

Général Méthode de propagation:
   • Peer to Peer

Les alias:
   • Kaspersky: P2P-Worm.Win32.Goldun.a
   • TrendMicro: WORM_GOLDUN.A
   • Bitdefender: BehavesLike:Win32.ExplorerHijack

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée des fichiers malveillants
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information

Fichiers – %SYSDIR%\mcfCC4.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
– %SYSDIR%\mcfdrv.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   mcfCC4]
   • "DllName"="mcfCC4.dll"
   • "Startup"="mcfCC4"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001
   • "key4"="[117985925899296[CurrentUser]"

Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\mcfdrv]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\mcfdrv.sys
   • "DisplayName"="MCFservice"

– [HKLM\SYSTEM\CurrentControlSet\Services\mcfdrv\Enum]
   • "0"="Root\LEGACY_MCFDRV\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\mcfdrv\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\iMesh\Client\LocalContent]
   • "DlDir0"="%SYSDIR%\User Local Files"

– [HKCU\Software\Kazaa\LocalContent]
   • "DlDir0"="%SYSDIR%\User Local Files"

– [HKCU\Software\Kazaa\Transfer]
   • "dir0"="012345:%SYSDIR%\User Local Files"

Les clés de registre suivantes sont changées:

– [HKCU\Software\iMesh\Client\LocalContent]
   L'ancienne valeur:
   • "Dir0"="012345:%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "Dir0"="012345:%SYSDIR%\User Local Files"

– [HKCU\Software\Kazaa\LocalContent]
   L'ancienne valeur:
   • "Dir0"="012345:%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "Dir0"="012345:%SYSDIR%\User Local Files"

– [HKCU\Software\iMesh\Client\LocalContent]
   L'ancienne valeur:
   • "DisableSharing"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableSharing"=dword:00000000

– [HKCU\Software\Kazaa\LocalContent]
   L'ancienne valeur:
   • "DisableSharing"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableSharing"=dword:00000000

– [HKCU\Software\Kazaa\Transfer]
   L'ancienne valeur:
   • "DlDir0"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DlDir0"="%SYSDIR%\User Local Files"

P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:

– Il cherche le répertoire suivant:
   • %SYSDIR%\User Local Files\

   En cas de succès, les fichiers suivants sont créés:
   • NAV2005_Keygen!.exe; NAV_updates__05.exe; XXX_teens_16-18.exe;
      WindowsXP boost.exe; photoshop__2005.exe;
      ana**********ex_photos.exe; TheBat!7.51.256.exe;
      NortonAntiVirus.exe; DrWEB_Key092007.exe; LAN_hacker_ver2.exe;
      NeT_KILLER_3.84.exe; julia_XXX_video.exe; Kaspersky_KEY08.exe;
      HACKER'S View 2.exe; Mozilla_1.9.927.exe; ProfessionalICQ.exe

Porte dérobée Serveur de contact:
Le suivant:
   • www.**********selwyn.com/IMAGES/PHOTOS/ppages/data.php

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire des méthodes PHP, HTTP GET et POST

Il envoie de l'information au sujet de:
    • Crée de fichiers de journalisation.
    • Utilisateur courant
    • L'ID de la plateforme

Vol d'informations – Une routine de journalisation est commencé après qu'un des sites web suivants soit visité:
   • https://www.e-**********.com/acct/balance.asp
   • https://www.e-**********.com/acct/accountinfo.asp

– Il capture:
    • Fenêtre d'information
    • Information du compte

Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• FSG 1.33

Voir la description brève ici.

Description inséré par Oliver Auerbach sur Mon, 12 Sep 2005 09:12 (GMT+1)
Description mise à jour par Iulia Diaconescu sur Tue, 13 Sep 2005 10:30 (GMT+1)

» À propos des logiciels malveillants
» À propos de l'hameçonnage
» Virus "in the Wild"

« Retour