Worm/VB.BV.4 - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/VB.BV.4
La date de la découverte:	12/03/2008
Type:	Ver
En circulation:	Oui
Infections signalées	Faible a moyen
Potentiel de distribution:	Faible a moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	93.612 Octets
Somme de contrôle MD5:	0Bdddbd11165827f0C0A86b578ce5bef
Version VDF:	6.38.00.39
Version IVDF:	6.38.00.40

Général Méthode de propagation:
   • Mapped network drives

Les alias:
   • Mcafee: W32/USBCasv
   • Kaspersky: Worm.Win32.VB.fp
   • F-Secure: Worm.Win32.VB.fp
   • Eset: Win32/VB.FP
   • Bitdefender: Worm.Win32.VB.BV

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée des fichiers
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il vole de l'information

Fichiers Il s'autocopie dans les emplacements suivants:
   • %TEMPDIR%\s.exe
   • %SYSDIR%\odbcasvc.exe
   • %SYSDIR%\Recycled\INFO.EXE
   • :\Recycled\INFO.EXE

Archivage:
Le Malware crée les archives dans lequels les fichiers sont enregistrés.

On analyse l'archive suivant:
   • %WINDIR%\Microsoft.NET\Debug\Temp\

On analyse le type de fichier suivant:
   • .log

Voilà le nom du fichier comprimé:
   • %la date courante%_%le temps courant%.uda

Il copie les fichiers suivants:
    • %tous les dossiers%\*.doc en %WINDIR%\Microsoft.NET\Debug\Temp\%chaîne de caractères aléatoire%.log
    • %tous les dossiers%\*.xls en %WINDIR%\Microsoft.NET\Debug\Temp\%chaîne de caractères aléatoire%.log
    • %tous les dossiers%\*ppt en %WINDIR%\Microsoft.NET\Debug\Temp\%chaîne de caractères aléatoire%.log

Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %SYSDIR%\Recycled\desktop.ini
   • :\Recycled\desktop.ini

– %SYSDIR%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

– :\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

– %WINDIR%\uda.exe

Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\odbcasvc.EXE
   • DisplayName = ODBC Administration Service
   • ObjectName = LocalSystem
   • Description = Microsoft Data Access - ODBC Administration Service

Email Il n'a pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:

Le format des emails:

De: esmtp01@tom.com
A: esmtp01@tom.com
Sujet: Spider%nombre%[%le nom de l'ordinateur%\%le nom d'utilisateur courant%]
L'attachement:
• current date%_%le temps courant%.uda

L'attachement est une copie du fichier créé: %WINDIR%\Microsoft.NET\Debug\Temp\%la date courante%_%le temps courant%.uda

Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Irina Diaconescu sur Wed, 30 Jul 2008 11:04 (GMT+1)
Description mise à jour par Andrei Gherman sur Thu, 31 Jul 2008 11:41 (GMT+1)

» À propos des logiciels malveillants
» À propos de l'hameçonnage
» Virus "in the Wild"

« Retour