Worm/Bozori.F - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/Bozori.F
La date de la découverte:	04/10/2005
Type:	Ver
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	19.968 Octets
Somme de contrôle MD5:	1067520f225d7429e0edba491e4b6db5
Version VDF:	6.31.1.212

Général Méthode de propagation:
   • Le réseau local

Les alias:
   • Mcafee: W32/Bozori.worm.f
   • Kaspersky: Net-Worm.Win32.Bozori.f
   • TrendMicro: WORM_ZOTOB.P
   • Bitdefender: Win32.Worm.Zotob.N

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\winwsl.exe

Il supprime sa propre copie, exécutée initialement

Le fichier suivant est créé:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
• %TEMPDIR%\%chaîne de caractères aléatoire%.bat

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "winwsl.exe"="winwsl.exe"

Infection du réseau La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS05-039 (Vulnerability in Plug and Play)

La création des adresses IP:
Il crée des adresses IP aléatoires et il essaye d'établir une connexion avec elles.

Le processus d'infection:
Il crée un script TFTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: 66.252.12.254
Port: 6664
Canal: #vnd
Pseudonyme: %chaîne de caractères aléatoire%

Arrêt de processus: La liste des processus qui sont terminés:
   • botzor.exe; csm.exe; HPSV.exe; llsrv.exe; mousebm.exe; per.exe;
      pnpsrv.exe; service32.exe; ssl.exe; svnlitup32.exe; system32.exe;
      upnp.exe; winbnl.exe; winksl.exe; winpnp.exe; winrvl.exe; wintbp.exe;
      wintbpx.exe; wintnl.exe; wintnpx.exe; wpa.exe

Informations divers Mutex:
Il crée le Mutex suivant:
• winwsl.exe

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Thu, 06 Oct 2005 12:13 (GMT+1)
Description mise à jour par Iulia Diaconescu sur Tue, 11 Oct 2005 09:42 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour