Worm/Traxgy.B - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/Traxgy.B
La date de la découverte:	30/08/2005
Type:	Ver
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Moyen à élevé
Potentiel de destruction:	Faible a moyen
Fichier statique:	Non
Taille du fichier:	57.344 Octets
Version IVDF:	6.31.01.196

Général Méthodes de propagation:
   • Email
   • Le réseau local
   • Mapped network drives

Les alias:
   • Kaspersky: Email-Worm.Win32.Rays
   • F-Secure: Email-Worm.Win32.Rays
   • Sophos: W32/Traxg-B
   • Panda: W32/Vinet.A.worm
   • Grisoft: I-Worm/Rays.E
   • Bitdefender: Win32.Rays.H@mm

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée un fichier malveillant
   • Il diminue les réglages de sécurité
   • Il modifie des registres

Fichiers Il s'autocopie dans les emplacements suivants:
   • A:\Explorer.EXE
   • A:\WINDOWS.EXE
   • :\WINDOWS.EXE
   • :\ghost.bat
   • %tous les dossiers%\%nom de liste actuelle%.exe

Il crée sa propre copie en employant un nom de fichier d'une liste:
– A: %WINDIR%\\system\ employant un des noms suivants:
   • %numéro hexadécimal%.com

– A: %WINDIR%\fonts\ employant un des noms suivants:
   • %numéro hexadécimal%.com

– A: %WINDIR%\\temp\ employant un des noms suivants:
   • %numéro hexadécimal%.com

– A: %WINDIR%\help\ employant un des noms suivants:
   • \%numéro hexadécimal%.com

Les fichiers suivants sont créés:

– Fichier inoffensif:
   • %tous les dossiers%\desktop.ini

– A:\NetHood.htm Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: VBS/Zapchast.B

– :\NetHood.htm Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: VBS/Zapchast.B

– %tous les dossiers%\folder.htt Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: VBS/Zapchast.B

Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • TempCom = %WINDIR%\\system\%numéro hexadécimal%.com
   • TempCom = %WINDIR%\fonts\%numéro hexadécimal%.com
   • TempCom = %WINDIR%\\temp\%numéro hexadécimal%.com
   • TempCom = %WINDIR%\help\%numéro hexadécimal%.com

La valeur de la clé de registre suivante est supprimée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • KaV300XP

Les clés de registre suivantes sont changées:

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   L'ancienne valeur:
   • fullpath = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • fullpath = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   L'ancienne valeur:
   • HideFileExt = %réglages définis par l'utilisateur%
   • Hidden = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • HideFileExt = dword:00000001
   • Hidden = dword:00000000

Email Il utilise MAPI (Messaging Application Programming Interface) afin d'envoyer des messages. Les caractéristiques sont décrites ci-dessous:

De:
L'adresse de l'expéditeur est le compte Outlook de l'utilisateur.

A:
– les adresses d'email recueillies du WAB (Windows Address Book)

Sujet:
Le suivant:
   • %texte chinois%

Corps:
Le corps de l'email est le suivant:
   • %texte chinois% Document.exe %texte chinois%

Pièce jointe:
Le nom de fichier de l'attachement est:
   • Document.exe

L'attachement est une copie du malware lui-même.

L'email ressemble à celui-ci:

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Voir la description brève ici.

Description inséré par Andrei Gherman sur Fri, 21 Sep 2007 10:34 (GMT+1)
Description mise à jour par Andrei Gherman sur Fri, 21 Sep 2007 11:02 (GMT+1)

» À propos des logiciels malveillants
» À propos de l'hameçonnage
» Virus "in the Wild"

« Retour