Nimnul, Cosmu

 Plate-forme:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    File infector

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild:
    Oui

  Overview

Voie d'infection: Téléchargé à partir d'Internet, Infecte des fichiers


  Détails techniques

Memory resident: Oui
Charge malveillante: Compromises system security, Steals information

Installation

Introduit les fichiers suivants :

  • %Application Data%\{random}\{random}.exe
  • %Program Files%\Microsoft\WaterMark.exe
  • %Program Files%\{random}\{random}.exe
  • %User Startup%\{random}.exe
  • %User Temp%\{random}.exe
  • {folder where malware is located}\{malware name}mgr.exe

(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.. %Program Files% est le dossier Program Files par défaut, généralement C:\Program Files.. %User Startup% est le dossier Menu Démarrer de l'utilisateur actuel. Il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Menu Démarrer\Programmes\Démarrer sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Menu Démarrer\Programmes\Démarrer sous Windows NT ou de C:\Documents and Settings\{nom de l'utilisateur}\Menu Démarrer\Programmes\Démarrer.. %User Temp% est le dossier temporaire de l'utilisateur actuel, le plus souvent C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Temp sous Windows 2000, XP et Server 2003.)

Introduit les fichiers/composants suivants :

  • %Application Data%\{random}.log
  • %Program Files%\Internet Explorer\dmlconf.dat
  • %User Profile%\{random}.log
  • %User Temp%\{random}.sys
  • {drive letter}:\Copy of {number}.lnk
  • {drive letter}:\RECYCLER\{SID}\{random}.cpl
  • {drive letter}:\autorun.inf

(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.. %Program Files% est le dossier Program Files par défaut, généralement C:\Program Files.. %User Profile% est le dossier du profil de l'utilisateur actuel ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur} sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur} sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur} sous Windows 2000, XP et Server 2003.. %User Temp% est le dossier temporaire de l'utilisateur actuel, le plus souvent C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Temp sous Windows 2000, XP et Server 2003.)

Crée les dossiers suivants :

  • %Application Data%\{random}
  • %Program Files%\{random}
  • {drive letter}:\RECYCLER

(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.. %Program Files% est le dossier Program Files par défaut, généralement C:\Program Files.)

Technique de démarrage automatique

S''enregistre en tant que service système afin d''assurer son exécution automatique à chaque démarrage système en ajoutant les entrées de registre suivantes :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Micorsoft Windows Service
Type = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Micorsoft Windows Service
Start = "4"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Micorsoft Windows Service
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Micorsoft Windows Service
DisplayName = "Micorsoft Windows Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Micorsoft Windows Service
DeleteFlag = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Micorsoft Windows Service
ImagePath = "%Application Data%\{random}\{random}.sys"

Ajoute les entrées de registre suivantes afin de s'exécuter automatiquement à chaque démarrage système :

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%Application Data%\{random}\{random}.exe"

Autres modifications du système

Ajoute les entrées de registre suivantes relatives à sa routine d''installation :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Program Files%\Internet Explorer\IEXPLORE.EXE = "%Program Files%\Internet Explorer\IEXPLORE.EXE:*:Enabled:internet Explorer"

Modifie les entrées de registre suivantes :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%Application Data%\{random}\{random}.exe"

(Note: The default value data of the said registry entry is %System%\userinit.exe,.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%Program Files%\{random}\{random}.exe"

(Note: The default value data of the said registry entry is %System%\userinit.exe,.)

Supprime les clés de registre suivantes :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network