Worm/Francette.S - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/Francette.S
La date de la découverte:	02/06/2006
Type:	Ver
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	177.664 Octets
Somme de contrôle MD5:	9069d6b59836869be3d96513fb41a8c0
Version VDF:	6.34.01.177
Version IVDF:	6.34.01.183

Général Méthode de propagation:
   • Le réseau local

Les alias:
   • Kaspersky: Net-Worm.Win32.Francette.s
   • TrendMicro: WORM_FRANCETTE.U
   • Eset: Win32/Tumbi.BA worm
   • Bitdefender: Win32.Worm.Francette.S

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Le fichier suivant est créé:

– %SYSDIR%\msguid.dll Contient un ID unique de l'ordinateur infecté.

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Microsoft Anyforce = %le dossier d'exécution du malware%\%le fichier exécuté%

Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS03-026 (Buffer Overrun in RPC Interface)

Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

Porte dérobée Les ports suivants sont ouverts:

– %le fichier exécuté% sur un port TCP aléatoire afin de fonctionner comme serveur proxy.
– %le fichier exécuté% afin de fonctionner comme serveur proxy Sock 5.

Serveur de contact:
Tous les suivants:
   • http://proxy.binaforce.info/proxy_info/**********
   • ftp.binaforce.**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
    • Le type de la connexion Internet
    • Port ouvert
    • L'ID de la plateforme
    • Information sur le système d'exploitation Windows

Capacités d'accès à distance:
    • Supprime le fichier
    • Télécharger un fichier
    • Exécuter un fichier
    • Finir le processus
    • Démarrer une routine de propagation
    • Terminer le Malware

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Andrei Gherman sur Thu, 08 Jun 2006 17:29 (GMT+1)
Description mise à jour par Andrei Gherman sur Thu, 08 Jun 2006 17:30 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour