Worm.Win32_Crowt-A
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
A l'exécution de Crowt-A, il dépose le fichier %System%\services.dll.
N.B. : Crowt-A détermine l'emplacement du répertoire "%System%" en tenant compte de la version du Windows utilsée. Par défaut, sous Windows 2000 et NT, c'est C:\Winnt\System32 ; sous Windows 95/98/Me, c'est C:\Windows\System et sous XP : C:\Windows\System32.
Le ver essai d'injecter du code dans le process Explorer, ce dernier charge ainsi services.dll.
Crowt-A essai de se copier dans ses différents répertoires :
{répertoire root}\services.exe
%Program Files Fichiers communs%\services.exe
%Modeles%\services.exe
%Demarrage%\services.exe
N.B. :
- %Demarrage% désigne le dossier de démarrage l'utilisateur courant ; généralement situé ici : C:\Documents and Settings\{utilisateur}\Menu Démarrer\Programmes\Démarrage\
.
- %Modeles% désigne le dossier Modeles de l'utilisateur courant ; généralement situé ici : C:\Documents and Settings\{utilisateur]\Modeles
- %Program Files Fichiers communs% désigne le dossier contenant les composants partagés des applications ; généralement situé ici : C:\Program Files\Fichiers communs
Crowt-A tente d'ajouter les entrées de registre suivantes :
Services Logon = " %Modeles%\services.exe"
Services Startup = "\services.exe"
à ces clefs :
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Au premier lancement de Crowt-A, le ver ouvre le site http://www.cnn.com/WORLD/ utilisant le navigateur par défaut. Il se connecte ensuite à une url du domaine cocorosa.ath.cx. Cette url contiendrait un compteur des infections réussies.
A la première installation, Crowt-A envoi un e-mail vers un compte yahoo.com contenant l'emplacement du dossier System, la version du Windows et l'adresse IP de la machine infectée.
Il stocke aussi les valeurs pour sa propre utilisation dans la clé suivante :
HKCU\Software\Microsoft\Windows\WindowsUpdate
Distribution par e-mail
Crowt-A peut s'envoyer par courrier électronique à une liste de destinataires, ou à toutes les personnes étant présente sur le WAB (carnet d'adresse d'Outlook). Le ver accède à ce dernier en vérifiant l'existence de cette clé :
HKCU\Software\Microsoft\WAB\WAB4\Wab File Name
Le courriel est généré en téléchargent la page principale "World News" du site web de CNN (http://www.cnn.com). Crowt-A analyse cette page pour y trouver "la une" de l'actualité, une fois les informations collectées, il s'en sert pour remplir le sujet du mail et le corps du message.
Porte-dérobée
Toutes les 2 heures, Crowt-A vérifie si la machine est connectée à l'Internet. Il essai de se connecter à cocoazul.ath.cx, si cette valeur existe :
HKCU\Software\Microsoft\Windows\WindowsUpdate\CallBack
Le port auquel il essai de se connecter est 80 par défaut, si le port a été changé, il est spécifié ici :
HKCU\Software\Microsoft\Windows\WindowsUpdate\Main Port
Crowt-A peut recevoir des commandes d'un attaquant distant lui permettant de :
- Ouvrir des pop-up sur l'ordinateur
- Redémarrer l'ordinateur
- Exécuter des fichiers
- Désinstaller Crowt de la machine infectée
- Répandre le ver par courriel
- Connaître l'arborescence du disque dur
- Supprimer des fichiers
- Télécharger/Télédécharger des fichiers
- Connaître la version du ver (0.826)
- Connaître les informations propre à la machine
- Lancer un serveur proxy SOCKS (par défaut 30001, il peut être changé grâce à la clé suivante : HKCU\Software\Microsoft\Windows\WindowsUpdate\Proxy Port)
- Lister tous les contacts dans le carnet d'adresse d'Outlook
- Arrêter Crowt-A pendant une heure.
Suppression des cookies
Crowt-A supprime tous les fichiers .txt présents dans le répertoire %Cookies%.
N.B. : %Cookies% désigne le répertoire contenant les cookies Internet ; généralement situé ici : C:\Documents and Settings\{utilisateur}\Cookies
Si la commande de désinstallation est exécutée via la backdoor, toutes les clés de registres sont supprimées, ainsi que tous les fichiers service.exe. Le fichier DLL est stocké ici : C:\Documents and Settings\{utilisateur}\~DF666.tmp
Crowt-A créé aussi le mutex "0.826" pour qu'il n'y ait qu'une copie du ver qui fonctionne en même temps.
Taille: Inconnue
Détails techniques:
A l'exécution de Crowt-A, il dépose le fichier %System%\services.dll.
N.B. : Crowt-A détermine l'emplacement du répertoire "%System%" en tenant compte de la version du Windows utilsée. Par défaut, sous Windows 2000 et NT, c'est C:\Winnt\System32 ; sous Windows 95/98/Me, c'est C:\Windows\System et sous XP : C:\Windows\System32.
Le ver essai d'injecter du code dans le process Explorer, ce dernier charge ainsi services.dll.
Crowt-A essai de se copier dans ses différents répertoires :
{répertoire root}\services.exe
%Program Files Fichiers communs%\services.exe
%Modeles%\services.exe
%Demarrage%\services.exe
N.B. :
- %Demarrage% désigne le dossier de démarrage l'utilisateur courant ; généralement situé ici : C:\Documents and Settings\{utilisateur}\Menu Démarrer\Programmes\Démarrage\
.
- %Modeles% désigne le dossier Modeles de l'utilisateur courant ; généralement situé ici : C:\Documents and Settings\{utilisateur]\Modeles
- %Program Files Fichiers communs% désigne le dossier contenant les composants partagés des applications ; généralement situé ici : C:\Program Files\Fichiers communs
Crowt-A tente d'ajouter les entrées de registre suivantes :
Services Logon = " %Modeles%\services.exe"
Services Startup = "\services.exe"
à ces clefs :
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Au premier lancement de Crowt-A, le ver ouvre le site http://www.cnn.com/WORLD/ utilisant le navigateur par défaut. Il se connecte ensuite à une url du domaine cocorosa.ath.cx. Cette url contiendrait un compteur des infections réussies.
A la première installation, Crowt-A envoi un e-mail vers un compte yahoo.com contenant l'emplacement du dossier System, la version du Windows et l'adresse IP de la machine infectée.
Il stocke aussi les valeurs pour sa propre utilisation dans la clé suivante :
HKCU\Software\Microsoft\Windows\WindowsUpdate
Distribution par e-mail
Crowt-A peut s'envoyer par courrier électronique à une liste de destinataires, ou à toutes les personnes étant présente sur le WAB (carnet d'adresse d'Outlook). Le ver accède à ce dernier en vérifiant l'existence de cette clé :
HKCU\Software\Microsoft\WAB\WAB4\Wab File Name
Le courriel est généré en téléchargent la page principale "World News" du site web de CNN (http://www.cnn.com). Crowt-A analyse cette page pour y trouver "la une" de l'actualité, une fois les informations collectées, il s'en sert pour remplir le sujet du mail et le corps du message.
Porte-dérobée
Toutes les 2 heures, Crowt-A vérifie si la machine est connectée à l'Internet. Il essai de se connecter à cocoazul.ath.cx, si cette valeur existe :
HKCU\Software\Microsoft\Windows\WindowsUpdate\CallBack
Le port auquel il essai de se connecter est 80 par défaut, si le port a été changé, il est spécifié ici :
HKCU\Software\Microsoft\Windows\WindowsUpdate\Main Port
Crowt-A peut recevoir des commandes d'un attaquant distant lui permettant de :
- Ouvrir des pop-up sur l'ordinateur
- Redémarrer l'ordinateur
- Exécuter des fichiers
- Désinstaller Crowt de la machine infectée
- Répandre le ver par courriel
- Connaître l'arborescence du disque dur
- Supprimer des fichiers
- Télécharger/Télédécharger des fichiers
- Connaître la version du ver (0.826)
- Connaître les informations propre à la machine
- Lancer un serveur proxy SOCKS (par défaut 30001, il peut être changé grâce à la clé suivante : HKCU\Software\Microsoft\Windows\WindowsUpdate\Proxy Port)
- Lister tous les contacts dans le carnet d'adresse d'Outlook
- Arrêter Crowt-A pendant une heure.
Suppression des cookies
Crowt-A supprime tous les fichiers .txt présents dans le répertoire %Cookies%.
N.B. : %Cookies% désigne le répertoire contenant les cookies Internet ; généralement situé ici : C:\Documents and Settings\{utilisateur}\Cookies
Si la commande de désinstallation est exécutée via la backdoor, toutes les clés de registres sont supprimées, ainsi que tous les fichiers service.exe. Le fichier DLL est stocké ici : C:\Documents and Settings\{utilisateur}\~DF666.tmp
Crowt-A créé aussi le mutex "0.826" pour qu'il n'y ait qu'une copie du ver qui fonctionne en même temps.
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
