Analysé par: Dianne Lagrimas   

 

Dursg, VBInject, Usuge, VBKrypt, Koobfa, Autorun

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 Infection signalée:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild:
    Oui

  Overview

Voie d'infection: Se propage via les sites de réseaux sociaux


  Détails techniques

Memory resident: Oui

Installation

Introduit les fichiers suivants :

  • %System%\clbcoko.dll
  • %System%\drivers\imapioko.sys
  • %System%\drivers\mrxoko.sys
  • %System%\erokosvc.dll
  • %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\chrome.manifest
  • %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\chrome\content\timer.xul
  • %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\install.rdf
  • %User Temp%\tmp

(Remarque : %System% est le dossier système de Windows, le plus souvent C:\Windows\System sous Windows 98 et ME, C:\WINNT\System32 sous Windows NT et 2000 ou C:\Windows\System32 sous Windows XP et Server 2003.. %User Profile% est le dossier du profil de l'utilisateur actuel ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur} sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur} sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur} sous Windows 2000, XP et Server 2003.. %User Temp% est le dossier temporaire de l'utilisateur actuel, le plus souvent C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Temp sous Windows 2000, XP et Server 2003.)

Introduit les duplicats suivants au sein du système affecté.

  • %System Root%\Documents and Settings\All Users\Application Data\mplf\mstime32.exe
  • %User Profile%\Application Data\SystemProc\lsass.exe
  • %User Profile%\Application Data\system\svchost.exe
  • %User Profile%\Application Data\system\verona\copy
  • %User Profile%\Application Data\system\verona\load_me.exe
  • %Windows%\ld03.exe
  • %Windows%\ld04.exe
  • {malware folder}\{malware file name}.exe

(Remarque :%System Root% est le dossier racine, généralement C:\. Il s'agit également de l'emplacement dans lequel se trouve le système d'exploitation.. %User Profile% est le dossier du profil de l'utilisateur actuel ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur} sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur} sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur} sous Windows 2000, XP et Server 2003.. %Windows% est le dossier Windows, généralement C:\Windows ou C:\WINNT.)

Crée les dossiers suivants :

  • %System Root%\Documents and Settings\All Users\Application Data\mplf
  • %User Profile%\Application Data\SystemProc
  • %User Profile%\Application Data\system
  • %User Profile%\Application Data\system\verona
  • %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}
  • %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\chrome
  • %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\chrome\content

(Remarque :%System Root% est le dossier racine, généralement C:\. Il s'agit également de l'emplacement dans lequel se trouve le système d'exploitation.. %User Profile% est le dossier du profil de l'utilisateur actuel ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur} sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur} sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur} sous Windows 2000, XP et Server 2003.)

Technique de démarrage automatique

Ajoute les entrées de registre suivantes afin de s'exécuter automatiquement à chaque démarrage système :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
sysldtray = "%Windows%\ld04.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
RTHDBPL = "%User Profile%\Application Data\SystemProc\lsass.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Intel Management Services v32 = "%System Root%\Documents and Settings\All Users\Application Data\mplf\mstime32.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random CLSID}
StubPath = "%System Root%\Documents and Settings\All Users\Application Data\mplf\mstime32.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
wupd32 = "%User Profile%\Application Data\system\svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
sysldtray = "%Windows%\ld03.exe"

Autres modifications du système

Ajoute les clés de registre suivantes :

HKEY_CURRENT_USER\Software\Microsoft\
xMyDate

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random CLSID}

HKEY_CURRENT_USER\Software\verona_4l

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ql600oko

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\swoko

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\apto6ko

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\cpqoko6

Ajoute les entrées de registre suivantes :

HKEY_CURRENT_USER\Identities
Curr version = "{number}"

HKEY_CURRENT_USER\Identities
Last Date = "{date}"

HKEY_CURRENT_USER\Identities
Inst Date = "{date}"

HKEY_CURRENT_USER\Identities
Popup count = "{number}"

HKEY_CURRENT_USER\Identities
Popup time = "{number}"

HKEY_CURRENT_USER\Identities
Popup date = "{number}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Program Files%\internet explorer\iexplore.exe = "%Program Files%\internet explorer\iexplore.exe:*:Enabled:Internet Explorer"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
TI = "{number}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
TP = "{number}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
termsvc = "{hex value}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
tapisrvs = "{hex value}"