Worm/Tutiam.A - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/Tutiam.A
La date de la découverte:	24/07/2006
Type:	Ver
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Moyen
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	143.360 Octets
Somme de contrôle MD5:	9f2b1ee9a59f56a91a0Ca7b25458e589
Version VDF:	6.35.00.180
Version IVDF:	6.35.00.220

Général Méthodes de propagation:
   • Email
   • Le réseau local

Les alias:
   • Symantec: W32.Miti@mm
   • Kaspersky: IRC-Worm.Win32.Tutiam.a
   • TrendMicro: WORM_TUTIAM.A
   • VirusBuster: Worm.Tutiam.A
   • Bitdefender: Dropped:Win32.Worm.Tamiami.A

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée des fichiers
   • Il crée un fichier malveillant
   • Il modifie des registres

Immédiatement après l'exécution l'information suivante est affichée:

Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\strangler.exe
   • %WINDIR%\Tamiami.wrd
   • %WINDIR%\tamweb\Pictures.exe

Il crée les répertoires suivants:
   • %WINDIR%\tammail
   • %WINDIR%\tamweb

Une section est ajoutée à un fichier.
– A: :\*.zip Avec le contenu suivant:
   • SourceCode.exe
     Addons_ENG.exe
     Pictures.exe
     Licence.exe
     ReadMe.exe
     Install.exe
     Quellcode.exe
     Addons.exe
     Bilder.exe
     Lizenz.exe
     LiesMich.exe
     Installation.exe
     (%le fichier exécuté%)

Les fichiers suivants sont créés:

– %WINDIR%\tamver.sys
– %WINDIR%\Tamiami.vbs
– %WINDIR%\tamweb\index.htm Détecté comme: Worm/Tamiami.A

– %WINDIR%\Tamiami.mrc

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Tamiami"="%WINDIR%\strangler.exe"

La clé de registre suivante est ajoutée:

– [HKCU\Identities\\Software\Microsoft\Outlook Express\5.0\
   Mail]
   • "Warn on Mapi Send"=dword:00000000

Les clés de registre suivantes sont changées:

Désactive le Pare-feu du Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   La nouvelle valeur:
   • "Start"=dword:00000004

IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: irc.quake**********
Port: 6667
Le mot de passe du serveur: %chaîne de caractères aléatoire de huit digits%
Canal: #tamiami
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: strangler

Serveur: quakenet.under**********
Port: 6667
Le mot de passe du serveur: %chaîne de caractères aléatoire de huit digits%
Canal: #tamiami
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: strangler

Serveur: irc.efn**********
Port: 6667
Le mot de passe du serveur: %chaîne de caractères aléatoire de huit digits%
Canal: #tamiami
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: strangler

Serveur: icr.under**********
Port: 6667
Le mot de passe du serveur: %chaîne de caractères aléatoire de huit digits%
Canal: #tamiami
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: strangler

Serveur: eu.under**********
Port: 6667
Le mot de passe du serveur: %chaîne de caractères aléatoire de huit digits%
Canal: #tamiami
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: strangler

Serveur: us.under**********
Port: 6667
Le mot de passe du serveur: %chaîne de caractères aléatoire de huit digits%
Canal: #tamiami
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: strangler

Serveur: port80c.se.quake**********
Port: 6667
Le mot de passe du serveur: %chaîne de caractères aléatoire de huit digits%
Canal: #tamiami
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: strangler

– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • se déconnecter du serveur IRC
    • Joindre le canal IRC
    • Démarrer une routine de propagation

Informations divers Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
• http://update.microsoft.com

Mutex:
Il crée le Mutex suivant:
• Worm.Tamiami v1.3.2 by DiA/RRLF

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Voir la description brève ici.

Description inséré par Monica Ghitun sur Mon, 24 Jul 2006 13:34 (GMT+1)
Description mise à jour par Andrei Ivanes sur Mon, 27 Nov 2006 11:24 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour