Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 Infection signalée:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild:
    Oui

  Overview

Voie d'infection: Se propage via les lecteurs amovibles, Se propage via les réseaux poste-à-poste, Se propage via les partages réseau, Se propage via les failles des logiciels, Se propage via IRC, Téléchargé à partir d'Internet


  Détails techniques

Memory resident: Oui
Charge malveillante: Compromises system security, Terminates processes, Modifies HOSTS file

Installation

Introduit les fichiers/composants suivants :

  • %User Temp%\removeMe{4 numbers}.bat

(Remarque : %User Temp% est le dossier temporaire de l'utilisateur actuel, le plus souvent C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Temp sous Windows 2000, XP et Server 2003.)

Introduit les duplicats suivants au sein du système affecté.

  • %Application Data%\dnsupdater.exe
  • %User Temp%\windump.exe
  • %Windows%\service.exe
  • %Windows%\test.exe
  • %Windows%\unek.exe
  • %Windows%\unek.exe
  • %Windows%\wintask.exe

(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.. %User Temp% est le dossier temporaire de l'utilisateur actuel, le plus souvent C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Temp sous Windows 2000, XP et Server 2003.. %Windows% est le dossier Windows, généralement C:\Windows ou C:\WINNT.)

Technique de démarrage automatique

Ajoute les entrées de registre suivantes afin de s'exécuter automatiquement à chaque démarrage système :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
test = "test.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Terminal Server\
Install\Software\Microsoft\
Windows\CurrentVersion\Run
test = "test.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
MSN = "%Windows%\unek.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
SunJavaUpdateSched = "%Application Data%\dnsupdater.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Services = "service.exe"

Autres modifications du système

Ajoute les entrées de registre suivantes relatives à sa routine d''installation :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path}\{malware name}.exe = "{malware path}\{malware name}.exe:*:Enabled:test"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path}\{malware name}.exe = "{malware path}\{malware name}.exe:*:Enabled:1"

Propagation

Crée les dossiers suivants dans tous les lecteurs amovibles :

  • RECYCLER
  • RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213
  • driver
  • driver\usb

Introduit des duplicats dans les dossiers suivants utilisés dans les réseaux poste-à-poste (P2P) :

  • %Program Files%\bearshare\shared\
  • %Program Files%\edonkey2000\incoming\
  • %Program Files%\emule\incoming\
  • %Program Files%\grokster\my grokster\
  • %Program Files%\icq\shared folder\
  • %Program Files%\kazaa lite k++\my shared folder\
  • %Program Files%\kazaa lite\my shared folder\
  • %Program Files%\kazaa\my shared folder\
  • %Program Files%\limewire\shared\
  • %Program Files%\morpheus\my shared folder\
  • %Program Files%\tesla\files\
  • %Program Files%\winmx\shared\
  • {folder path}\bearshare\shared\
  • {folder path}\edonkey2000\incoming\
  • {folder path}\emule\incoming\
  • {folder path}\frostwire\saved\
  • {folder path}\frostwire\shared\
  • {folder path}\grokster\my grokster\
  • {folder path}\icq\shared folder\
  • {folder path}\kazaa lite k++\my shared folder\
  • {folder path}\kazaa lite\my shared folder\
  • {folder path}\kazaa\my shared folder\
  • {folder path}\kazaa\my sharedfolder\
  • {folder path}\limewire\saved\
  • {folder path}\limewire\shared\
  • {folder path}\morpheus\my shared folder\
  • {folder path}\my music\bearshare\
  • {folder path}\my music\imesh\
  • {folder path}\shareaza downloads\
  • {folder path}\tesla\files\
  • {folder path}\winmx\shared\

(Remarque : %Program Files% est le dossier Program Files par défaut, généralement C:\Program Files.)

Dépose des duplicats dans les dossiers partagés suivants :

  • SharedDocs\porno_movie.mpeg.exe
  • ADMIN$\porno_movie.mpeg.exe
  • C$\porno_movie.mpeg.exe
  • D$\porno_movie.mpeg.exe
  • E$\porno_movie.mpeg.exe

Routine de portes dérobées

Se connecte à l''un quelconque des serveurs IRC suivants :

  • irc.{BLOCKED}e.com
  • unek.{BLOCKED}p3.com
  • Irc.{BLOCKED}z.Com
  • irc.{BLOCKED}ini.net