Worm/Biatch - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/Biatch
La date de la découverte:	17/01/2006
Type:	Ver
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	20.480 Octets
Somme de contrôle MD5:	d9c745ef21721938fd44b8bf85717b8c

Général Méthode de propagation:
   • Le réseau local

Les alias:
   • Mcafee: W32/Pinom.worm!backdoor
   • TrendMicro: WORM_PINOM.A
   • Bitdefender: Win32.Worm.Pinom.G

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\penis.exe

Registre La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   La nouvelle valeur:
   • "Shell"="Explorer.exe %SYSDIR%\penis.exe"

Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans le partage réseau suivant:
   • %tous les dossiers partagés%\setup.exe

Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– Une liste de noms d'utilisateurs et de mots de passe:
   • 1234; 0; 7; 110; 111; 123; 1111; 1313; 2002; 2003; 2112; 2600; 5150;
      6969; 7777; 12345; 54321; 111111; 121212; 123123; 123456; 654321;
      901100; 1234567; 11111111; 12345678; 88888888; 123456789; 1234qwer;
      123abc; 123asd; 123qwe; aaa; abc; abc123; abcd; admin; Admin;
      admin123; administrator; Administrator; alpha; asdf; baseball; ccc;
      computer; database; enable; fish; foobar; god; godblessyou; golf;
      Guest; harley; home; ihavenopass; Internet; letmein; login; Login;
      love; mustang; mypass; mypass123; mypc; mypc123; oracle'pwd; owner;
      Owner; pass; passwd; password; Password; pat; patrick; pussy; pw123;
      qwer; qwerty; root; Root; secret; server; sex; shadow; super; sybase;
      temp; temp123; test; test123; win; xxx; yxcv; zxcv

La création des adresses IP:
Il crée des adresses IP aléatoires et il essaye d'établir une connexion avec elles.

Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: genesis.ga**********.us
Port: 6667
Canal: #peniz
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: pubic

– Ensuite il a la capacité d'opérer des actions tel que:
    • Télécharger un fichier
    • Exécuter un fichier
    • Opérer un attaque DDoS
    • Terminer le Malware
    • Se mettre à jour tout seul
    • Visiter un site web

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Wed, 18 Jan 2006 11:54 (GMT+1)
Description mise à jour par Andrei Gherman sur Tue, 24 Jan 2006 12:57 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour