Worm/Autorun.dcm - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/Autorun.dcm
La date de la découverte:	27/03/2008
Type:	Ver
En circulation:	Oui
Infections signalées	Faible a moyen
Potentiel de distribution:	Faible a moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	13.824 Octets
Somme de contrôle MD5:	7e924990480D44af6a239329b2e682cb
Version VDF:	7.00.03.77
Version IVDF:	7.00.03.82

Général Méthode de propagation:
   • Mapped network drives

Les alias:
   • Kaspersky: Worm.Win32.AutoRun.dcm
   • F-Secure: Worm.Win32.AutoRun.dcm
   • Grisoft: Worm/Generic.GRV
   • Eset: Win32/AutoRun.KS
   • Bitdefender: Win32.Worm.TQW

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée des fichiers
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans les emplacements suivants:
   • c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe
   • :\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe

Les fichiers suivants sont créés:

– Fichier inoffensif:
   • c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

– \autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
{08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
• StubPath="c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe"

IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: tassweq.com
Port: 7000
Le mot de passe du serveur: trb123trb
Canal: #alhailam
Pseudonyme: %chaîne de caractères aléatoire%

– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • Joindre le canal IRC

L'injection du code viral dans d'autres processus – Il s'injecte comme un nouveau fil d'exécution à distance dans un processus.

    Nom du processus:
   • EXPLORER.EXE

   En cas de succès, le processus malware se termine pendent que la partie injectée reste active.

Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Ana Maria Niculescu sur Fri, 13 Jun 2008 10:42 (GMT+1)
Description mise à jour par Andrei Gherman sur Thu, 31 Jul 2008 09:07 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour