Worm.Win32_Padowor-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 98000 Octet(s)

Détails techniques:

A son exécution, Padowor-A se copie sous un nom aléatoire ici :

%System%\Ddlnohkp.exe

Le fichier "MSDevBase.dat" est créé pour contenir les adresses électroniques du carnet d'adresse :

%System%\MSDevBase.dat

Le ver crée aussi un fichier DLL (Dynamic Linked Library) sous un nom aléatoire :

%System%\Pfckhdcm.dll

Ce fichier contient la porte-dérobée.

Padowor-A ajoute les entrées de registre suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad ".Net Framework" = "{3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}"
HKLM\Software\Classes\CLSID\{3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}\InProcServer32 (Default) = "%System%\{nom_aléatoire}.dll"
HKCR\CLSID\{3845CD5A-6FA0-3E0C-3980-000CD8DE3A31}\InProcServer32 (Default) = "%System%\{nom_aléatoire}.dll"


N.B. : Padowor-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Le ver crée également le flag "MS.NETFmwk1.1" manifestant la présence du ver sur le système.

Infection par e-mail

Le ver récolte les adresses présentes dans le carnet d'adresse d'Outlook.

Voici les caractéristique de l'e-mail qu'il envoie pour se répandre :

Sujet

Il est choisie parmi l'un de cela :

- cyber porno art
- His photo.
- My username descriptions.
- My West Coast Bank registration data disabled.
- Take update of credit access program.
- Their image.
- Update your credit client program.

Corps du message

Le message est choisie aléatoirement parmi cela :

- Greetings, do you remember you spoke something about their image in a naked kind?
I have found a little bit, i don`t know it is pleasant to you whether or not but i have decided to give to see it to you
magic word:...
As you will decide to have a rest with me, call.
winxp.

- Hello, my name is :.., i am from branch of State Central Bank.
Too hour ago my manager, has asked me to notify you about that our firm has released the new version of credit client program,
unfortunately to send the program from work i have not had time therefore i send file from home. Information about account
program inside package.
Don`t forget unlock pass is Amo:...
I am sorry.

- Dear Jack, you ask me about our registration reports and i send it to you
Also i found some interesting info about our budget usage, if you have free minute please familiarize with this report.
You should remember this personal information only for you, access code is ::::. Your data i package file.


Pièce-jointe

Le ver et la porte-dérobée se trouvent dans la pièce-jointe sous l'un des noms suivants :

###adult
##-photo
#HardArt
#MyPhoto
#Sex.jpg
Applic-#
Art-####
AssFuck#
Blondes#
Blowjobs
CKeeper#
Credit##
details#
Dildos##
Fucking#
Girls-##
HardCor#
Image-##
Image###
Inf-####
Inf4You#
InfNo###
info-###
ItsMe-##
Keeper##
Lesbian#
Me-#####
MKeep###
MKp##Upd
MoneyKe#
MyImage#
MyPhoto#
NudeGirl
NWUpdate
Orgy####
Photo###
PInform#
Porn-###
Porno-##
PornStar
Program#
Pussy###
Rep-####
report##
Sadomaso
SecRep##
SInfo###
SoftCor#
Teens-##
Update##
vibrator
Xxx#.jpg
YouAndI#
Your-###
YourRep#


N.B. : Les # représentent des numéros.

L'extension de ce fichier peut être l'une d'elles :

.exe
.pif
.scr
.zip



Porte-dérobée

Le ver ouvrira un port TCP (choisi aléatoirement) sur la machine infectée afin de recevoir des commandes d'un utilisateur malveillant, il pourra se connecter et accéder à différentes ressources de l'ordinateur infecté.


Padowor-A tente des attaques de types DoS (Déni de service) contre les sites suivants :

http://50sbrotherhood.com/ikAARBbH
http://anypets.com/sotNuSLd
http://bcn4life.com/KMjvnkAc
http://beeslender.com/LzKDMFVx
http://cambodiaclassic.com/tAnwLRRp
http://divasonic.com/zDcdWXDA
http://fresh895fm.com/JnaCMJGA
http://galeriass.com/mRDxxkyz
http://hpbyggematrialer.dk/jEoESVah
http://hydrocut.com/KzfDvbjk
http://linux-bulgaria.org/ZPImndAd
http://opticalinstrument.com.cn/OfRRnhYY
http://organicbabe.com.au/QoGJQIZV
http://pbwga.com/KJvaslsl
http://piraten.dk/BGAiQOtB
http://pitzmedia.com/AGgRBzQd
http://poemas-de-amor.org/sQAAXWrE
http://praha-mesto.cz/VeTBmiUj
http://sakichan.ho8.com/KDCvKLFh
http://smirkingchimp.com/lldLmfSD
http://snodgers.com/zmvIKkla
http://synodcathedral.org/KVrxusoL
http://therefrisky.com/kjnvaPPa
http://usdacrc.com/gGVrsjlh
http://wildrice.com/kdmvflkz
http://wolfscreek.com/lOnFQYoO
http://www.asis.com/LMlakmvb
http://www.cashetta.com/LlksvIJH
http://www.divasonic.com/zDcdWXDA
http://www.lysbordet.com/OJJAtUEo
http://www.pitzmedia.com/AGgRBzQd



Le ver tente également de terminer les process comportant des noms avec les mots suivants :

- Detector de OfficeScanNT
- McAfee Framework Service
- Norton Antivirus Service
- Panda Antivirus
- sharedaccess
- ZoneAlarm




http://www.altospam.com/