Worm/Anixma.A - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/Anixma.A
La date de la découverte:	04/10/2005
Type:	Ver
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible a moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	29.184 Octets
Somme de contrôle MD5:	8c70791f7ef061117dd37deb361c93df
Version VDF:	6.32.0.58

Général Méthode de propagation:
   • Programme de messagerie

Les alias:
   • TrendMicro: WORM_ANIXMA.A
   • Bitdefender: Backdoor.IRCBot.HM

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\%chaîne de caractères aléatoire%.exe

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Socketheader"="%chaîne de caractères aléatoire%.exe"

Les valeurs de la clé de registre suivante sont supprimées:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • avg7_cc
   • avg7_emc
   • ccApp
   • KAV50
   • KAVPersonal50
   • McAfee Guardian
   • McAfee.InstantUpdate.Monitor

Il crée les entrées suivantes afin de passer par le Firewall de Windows XP:

– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
   • "EnableFirewall"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
   • "EnableFirewall"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"=dword:00000000

Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– AIM Messenger
– Windows Messenger

A:
Toutes les fenêtres de conversation ouvertes.

IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: xxx.s**********.biz
Port: 5190
Canal: #504
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: cali

– Ensuite il a la capacité d'opérer des actions tel que:
    • Télécharger un fichier
    • Exécuter un fichier
    • Démarrer une routine de propagation
    • Terminer le Malware

Informations divers Mutex:
Il crée le Mutex suivant:
• E8Zd9EdE

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• tElock

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Tue, 04 Oct 2005 13:44 (GMT+1)
Description mise à jour par Andrei Ivanes sur Wed, 12 Oct 2005 16:04 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour