Worm/Hakaglan.B - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/Hakaglan.B
La date de la découverte:	05/04/2007
Type:	Ver
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	268.216 Octets
Somme de contrôle MD5:	0D94f594bca6d09ab3423b962da0e9df
Version IVDF:	6.38.00.184

Général Méthodes de propagation:
   • Mapped network drives
   • Programme de messagerie

Les alias:
   • Mcafee: Downloader-FL
   • F-Secure: Worm.Win32.AutoIt.c
   • Sophos: W32/SillyFDC-G
   • Grisoft: Worm/Autoit.X
   • Eset: Win32/Hakaglan.B
   • Bitdefender: Win32.Worm.Sohanat.AB

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\RVHOST.exe
   • %WINDIR%\RVHOST.exe
   • \New Folder.exe

Le fichier suivant est créé:

– %WINDIR%\tasks\At1.job Le fichier est une application planifie laquelle effectue le Malware avec un date prédéfinie.

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger = %SYSDIR%\RVHOST.exe

Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • Shell = Explorer.exe
   La nouvelle valeur:
   • Shell = Explorer.exe RVHOST.exe

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   La nouvelle valeur:
   • AtTaskMaxHours = 0

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   La nouvelle valeur:
   • DisableTaskMgr = 1
   • DisableRegistryTools = 1

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   La nouvelle valeur:
   • NofolderOptions = 1

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   La nouvelle valeur:
   • shared = \\%le nom de l'ordinateur%\\New Folder.exe

Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– Yahoo Messenger

A:
Tous les contacts en ligne de la liste de contacts.

Message
Le message envoyé ressemble à celui-ci:

• %rassemblé sur l'Internet%

Le message reçu aurait l'air du message suivant:

Porte dérobée Serveur de contact:
Tous les suivants:
   • http://nhatquanglan2.0catch.com/**********
   • http://nhatquanglan2.0catch.com/**********
   • http://www.freewebs.com/nhattruongquang/**********

En conséquence la possibilité de contrôle à distance est fournie. Le réponse du serveur est écrit dans le fichier: %SYSDIR%\settings.ini

Capacités d'accès à distance:
    • Télécharger un fichier
    • Exécuter un fichier
    • Relié au Spam
    • Visiter un site web

Voir la description brève ici.

Description inséré par Andrei Gherman sur Fri, 14 Mar 2008 09:02 (GMT+1)
Description mise à jour par Andrei Gherman sur Fri, 14 Mar 2008 10:00 (GMT+1)

» À propos des logiciels malveillants
» À propos de l'hameçonnage
» Virus "in the Wild"

« Retour