Worm.Win32_Glieder-S

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 33792 Octet(s)

Détails techniques:

Glieder-S arrive sous forme d'une pièce-jointe sous e-mail (voir Capture d'écran).

Quand il est exécuté, Glieder-S se copie dans :

%System%\winshost.exe

Pour s'exécuter à chaque démarrage, il ajoute les entrées de registre suivantes :

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winshost.exe = "%System%\winshost.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winshost.exe = "%System%\winshost.exe"


Il dépose aussi wiwshost.exe (18944 octets) dans le même répertoire. Ce fichier est en fait un fichier DLL (Dynamic Linked Library) qui est injecté dans explorer.exe afin de fonctionner sous le couvert de Explorer.

N.B. : Glieder-S détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Glieder-S tente de télécharger un fichier à partir d'une liste d'URLs récupérée sur un domaine :

www.DarrkSydebaby.com
www.amanit.ru
www.anthonyflanagan.com
www.approved1stmortgage.com
www.argument.h12.ru
www.arkebek.de
www.artek.org
www.asianfestival.nl
www.astergut.at
www.aviation-center.de
www.bbsh.org
www.besino.com
www.bestbuy.de
www.beta.mtw.ru
www.bga-gsm.ru
www.blessino.com
www.blueeyeinc.com
www.breaklight.be
www.brzesko.net.pl
www.catsystem.com.kg
www.cdnpartner.com.pl
www.ceskyhosting.cz
www.channeland.com
www.compsolutionstore.com
www.concept.kg
www.corpsite.com
www.couponcapital.net
www.dehut-westerhoven.nl
www.dhl.kg
www.dierollendedisco.de
www.discobaradventure.be
www.e-nfo.com
www.e-power.com.cn
www.ecobank.kg
www.elenalazar.com
www.epicbiz.com
www.europa.kg
www.everett.wednet.edu
www.externet.hu
www.forester.kg
www.fotocliparts.de
www.fotonw.org
www.freesites.com.br
www.funbunker.de
www.funworld.tv
www.gameser.com@share.gameser.com
www.gci-bln.de
www.gcnet.ru
www.giantrevenue.com
www.himpsi.org
www.i3dvr.com
www.ibigmart.net
www.idb-group.net
www.illusionoflife.net
www.infocuspromo.com
www.irinaswelt.de
www.jansenboiler.com
www.jasnet.pl
www.jcribeiro.com
www.jewelleryamberproducts.com
www.jimvann.com
www.jldr.ca
www.jordanramey.net
www.joy-musik-sound.de
www.justrepublicans.com
www.katel.kg
www.knicks.nl
www.koebers.pl
www.kogaionon.com
www.kplus.kg
www.kradtraining.de
www.kranenberg.de
www.kranenberg.de:113547@
www.kstrus.com.pl
www.ktsonline.de
www.lahelaino.com
www.lawform.com.au
www.leetexgroup.com
www.leshrak.de
www.leshrak.de:prophets@
www.logoseiten.de
www.magicbottle.com.tw
www.mcuserver.cz
www.mega-spass.com
www.mega.kg
www.mepbisu.de
www.mepmh.de
www.mtfdesign.com
www.mtransit.kg
www.neotech.kg
www.nikonfotoshare.com
www.novosti.kg
www.ok.kg
www.onepositiveplace.org
www.online.kg
www.orangesuburban.5u.com
www.otv.ch
www.pageantpage.com
www.pankration.com
www.para-agility.com
www.pdxracing.net
www.pfadfinder-leobersdorf.com
www.pipni.cz
www.pjwstk.edu.pl
www.polizeimotorrad.de
www.proway-consulting.com
www.pugetsoundyc.org
www.pyrlandia-boogie.pl
www.qphoto.co.za
www.raecoinc.com
www.realgps.com
www.realty.kg
www.redlightpictures.com
www.reliance-yachts.com
www.relocationflorida.com
www.rentalstation.com
www.rieraquadros.com.br
www.roaming.kg
www.sacohalle.be
www.scanex-medical.fi
www.scoping4success.com
www.sert.ru
www.sigi.lu
www.spadochron.pl
www.ssc.kg
www.ssmifc.ca
www.stadtmeyers.de
www.stadtmeyers.de:R2D2c3po@
www.sterlingirb.com
www.sunassetholdings.com
www.szantomierz.art.pl
www.szosa.pl
www.tambourenvereine.ch
www.tarnow.opoka.org.pl
www.tc-muraene.com
www.tc-muraene.com:hunter@
www.theroyalregistry.com
www.transportation.gov.bh
www.tumar.kg
www.tunguska.hu
www.turkeyhomes.com
www.turkeyhomes.com@
www.ulpiano.org
www.unicity.pl
www.vbw.info
www.velezcourtesymanagement.com
www.vorrix.com
www.webpark.pl
www.wecompete.com
www.wp.pl
www.wwwebad.com
www.xpager321.wz.cz
www.yamdiamonds.com
www.zander-yachting.com


Si tout se passe bien, il enregistre le fichier téléchargé sous %Windir%\_re_file.exe et l'exécute.

N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.

Le composant DLL wiwshost.exe termine les process suivants (généralement associés à des antivirus ou tout autre programme de sécurité) :

ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE
UPGRADER.EXE


Le fichier Hosts contient le mapping des adresses IP et des noms d'hôtes. Windows consulte ce fichier, avant de recourir aux serveurs DNS, évitant ainsi de perdre du temps avec ces serveurs DNS. Sur Windows NT/2000/XP le fichier Hosts se trouve dans %System%\drivers\etc\hosts.

Glieder-S écrase ce fichier Hosts afin de rediriger l'internaute, par exemple :

127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com


Ces quelques lignes redirigeront l'utilisateur vers son poste, ce qui provoquera vraissemblablement une erreur si son port est fermé.

Glieder-S redirige ainsi les noms de domaine suivants vers le poste de l'utilisateur :

ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads3.kaspersky-labs.com
downloads4.kaspersky-labs.com
engine.awaps.net
f-secure.com
fastclick.net
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
ids.kaspersky-labs.com
kaspersky-labs.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.f-secure.com
www.fastclick.net
www.grisoft.com
www.kaspersky.com
www.kaspersky.ru
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.viruslist.ru
www3.ca.com


Sur Windows 2000/XP, Glieder-S essaie d'arrêter ou de désactiver Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) et le centre de sécurité Windows ("wscsvc" uniquement disponible dans Windows XP SP2).

Glieder-S tente aussi de désactiver les services suivants :

Ahnlab task Scheduler
alerter
AlertManger
AVExch32Service
avg7alrt
avg7updsvc
AvgCore
AvgFsh
AvgServ
avpcc
AVUPDService
AvxIni
awhost32
backweb client - 4476822
BackWeb Client - 7681197
backweb client-4476822
BlackICE
CAISafe
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
DefWatch
dvpapi
dvpinit
F-Secure Gatekeeper Handler Starter
fsbwsys
FSDFWD
FSMA
KAVMonitorService
kavsvc
KLBLMain
McAfee Firewall
McAfeeFramework
McShield
McTaskManager
mcupdmgr.exe
MCVSRte
MonSvcNT
navapsvc
Network Associates Log Service
NISSERV
NISUM
NOD32ControlCenter
NOD32Service
Norman NJeeves
Norman ZANDA
Norton Antivirus Server
NPFMntor
NProtectService
NSCTOP
nvcoas
NVCScheduler
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
NWService
Outbreak Manager
Outpost Firewall
OutpostFirewall
PASSRV
PAVFNSVR
Pavkre
PavProt
PavPrSrv
PAVSRV
PCCPFW
PersFW
PREVSRV
PSIMSVC
ravmon8
SAVFMSE
SAVScan
SBService
schscnt
SmcService
SNDSrvc
SPBBCSvc
SweepNet
SWEEPSRV.SYS
Symantec AntiVirus Client
Symantec Core LC
Tmntsrv
V3MonNT
V3MonSvc
VexiraAntivirus
VisNetic AntiVirus Plug-in
vsmon
wuauserv
XCOMM


Glieder-S supprime les entrées de regisre suivantes (si elles existent) :

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfee.InstantUpdate.Monitor
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\APVXDWIN
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAV50
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfee Guardian
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NAV CfgWiz
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SSC_UserPrompt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Symantec NetDriver Monitor
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Zone Labs Client
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_cc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_emc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccApp
HKLM\SOFTWARE\Agnitum
HKLM\SOFTWARE\KasperskyLab
HKLM\SOFTWARE\McAfee
HKLM\SOFTWARE\Panda Software
HKLM\SOFTWARE\Symantec
HKLM\SOFTWARE\Zone Labs


Glieder-S cherche, dans les périphériques non-amovibles, les fichiers suivants pour les renommer. Le nouveau nom de fichier est indiqué sur la colonne de droite :

SPBBCSvc.exe SP1BBCSvc.exe
SNDSrvc.exe SND1Srvc.exe
ccApp.exe ccA1pp.exe
ccl30.dll cc1l30.dll
LUALL.EXE LUAL1L.EXE
AUPDATE.EXE AUPD1ATE.EXE
Luupdate.exe Luup1date.exe
RuLaunch.exe RuLa1unch.exe
CMGrdian.exe CM1Grdian.exe
Mcshield.exe Mcsh1ield.exe
outpost.exe outp1ost.exe
Avconsol.exe Avc1onsol.exe
Vshwin32.exe Vshw1in32.exe
VsStat.exe Vs1Stat.exe
Avsynmgr.exe Av1synmgr.exe
kavmm.exe kav12mm.exe
Up2Date.exe Up222Date.exe
KAV.exe K2A2V.exe
avgcc.exe avgc3c.exe
avgemc.exe avg23emc.exe
zatutor.exe zatutor.exe
isafe.exe zatu6tor.exe
av.dll is5a6fe.exe
vetredir.dll c6a5fix.exe
CCSETMGR.EXE C1CSETMGR.EXE
CCEVTMGR.EXE CC1EVTMGR.EXE
NAVAPSVC.EXE NAV1APSVC.EXE
NPFMNTOR.EXE NPFM1NTOR.EXE
symlcsvc.exe s1ymlcsvc.exe
ccvrtrst.dll ccv1rtrst.dll
LUINSDLL.DLL LUI1NSDLL.DLL
zlclient.exe zo3nealarm.exe
cafix.exe zl5avscan.dll
vsvault.dll zlcli6ent.exe


Capture(s) d'écran:

Glieder-S



http://www.generation-nt.com/