Worm.Win32_Sumom-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 17429 Octet(s)

Détails techniques:

Lorsqu'il est exécuté, Sumom-A se copie dans le répertoire %System% sous les noms de fichier "FORMATSYS.EXE" et "SERBW.EXE", dans le répertoire %Windows% sous le nom de fichier "MSMBW.EXE" et à la racine du disque sous le nom de fichier "LSPT.EXE".

Sumom-A créait les entrées suivantes dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
%Valeur aléatoire% = "%Donnée aléatoire%"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run
%Valeur aléatoire% = "%Donnée aléatoire%"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
%Valeur aléatoire% = "%Donnée aléatoire%"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\policies\Explorer\Run
%Valeur aléatoire% = "%Donnée aléatoire%"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
%Valeur aléatoire% = "%Donnée aléatoire%"


%Valeur aléatoire% est sélectionné aléatoirement parmi la liste suivante :
ltwob
serpe
avnort


%Donnée aléatoire% est sélectionné aléatoirement parmi la liste suivante :
%Windows%\msmbw.exe
%System\serbw.exe
%System\formatsys.exe


Sumom-A se copie également sous les noms de fichier suivant à la racine du disque dans le but d'être envoyé via Microsoft Windows Messenger à l'ensemble de la liste de contacts de la machine infectée :

Crazy frog gets killed by train!.pif
Annoying crazy frog getting killed.pif
See my lesbian friends.pif
LOL that ur pic!
My new photo!.pif
Me on holiday!.pif
The Cat And The Fan piccy.pif
How a Blonde Eats a Banana...pif
Mona Lisa Wants Her Smile Back.pif
Topless in Mini Skirt! lol.pif
Fat Elvis! lol.pif
Jennifer Lopez.scr


Sumom-A se copie en tant que "AUTORUN.EXE" dans les répertoires suivants :

Documents and Settings\Local Settings\Application Data\
Microsoft\CDBurning\


Sumom-A créait un fichier "AUTORUN.INF" dans le même répertoire que "AUTORUN.EXE" afin qu'il soit exécuté à chaque démarrage.

Sumom-A se copie également dans les répertoires suivants :

My Shared Folder
Program Files\eMule\Incoming
Documents and Settings\{nom_utilisateur}\Shared


Afin de se répandre par les réseaux peer-to-peer, il se copie sous les noms de fichier suivants :

Messenger Plus! 3.50.exe
MSN all version polygamy.exe
MSN nudge bomb.exe


Sumom-A modifie également les entrées suivantes de la base de registre :

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\
DisableSR =
"0"

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\
DisableConfig =
"0"

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\
Hidden =
"2"


Sumom-A tente de terminer un certain nombre de processus liés à des logiciels de sécurité (antivirus, firewall etc..) :

avengine.exe
apvxdwin.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bawindo.exe
blackd.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccpxysvc.exe
cfiaudit.exe
defwatch.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
nisum.exe
firewall.exe
frameworkservice.exe
icssuppnt.exe
icsupp95.exe
luall.exe
lucoms~1.exe
mcagent.exe
mcshield.exe
mcupdate.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nopdb.exe
nprotect.exe
nupgrade.exe
outpost.exe
pavfires.exe
pavproxy.exe
pavsrv50.exe
rtvscan.exe
rulaunch.exe
savscan.exe
shstat.exe
sndsrvc.exe
symlcsvc.exe
Update.exe
updaterui.exe
vshwin32.exe
vsstat.exe
vstskmgr.exe
cmd.exe
msconfig.exe
msdev.exe
ollydbg.exe
peid.exe
petools.exe
regedit.exe
reshacker.exe
taskmgr.exe
w32dasm.exe
winhex.exe
wscript.exe


Sumom-A tente de télécharger et ouvrir un fichier distant nommé "British National Party.jpg" du site "http://frog.0catch.com".

Note: A l'heure où cette description était rédigée, cette URL était indisponible.

Sumom-A dépose et exécute un fichier nommé "Crazy-Frog.Html" qui tente d'afficher une image JPG du site "http://frog.0catch.com" et de se connecter à un script PHP localisé à l'adresse "http://udjc.com".

Sumom-A tente de modifier le fichier HOSTS pour empêcher l'accès à certains sites :

64.233.167.104 www.symantec.com
64.233.167.104 www.sophos.com
64.233.167.104 www.mcafee.com
64.233.167.104 www.viruslist.com
64.233.167.104 www.f-secure.com
64.233.167.104 www.avp.com
64.233.167.104 www.kaspersky.com
64.233.167.104 www.networkassociates.com
64.233.167.104 www.ca.com
64.233.167.104 www.my-etrust.com
64.233.167.104 www.nai.com
64.233.167.104 www.trendmicro.com
64.233.167.104 www.grisoft.com
64.233.167.104 securityresponse.symantec.com
64.233.167.104 symantec.com
64.233.167.104 sophos.com
64.233.167.104 mcafee.com
64.233.167.104 liveupdate.symantecliveupdate.com
64.233.167.104 viruslist.com
64.233.167.104 f-secure.com
64.233.167.104 kaspersky.com
64.233.167.104 kaspersky-labs.com
64.233.167.104 avp.com
64.233.167.104 networkassociates.com
64.233.167.104 ca.com
64.233.167.104 mast.mcafee.com
64.233.167.104 my-etrust.com
64.233.167.104 download.mcafee.com
64.233.167.104 dispatch.mcafee.com
64.233.167.104 secure.nai.com
64.233.167.104 nai.com
64.233.167.104 update.symantec.com
64.233.167.104 updates.symantec.com
64.233.167.104 us.mcafee.com
64.233.167.104 liveupdate.symantec.com
64.233.167.104 customer.symantec.com
64.233.167.104 rads.mcafee.com
64.233.167.104 trendmicro.com
64.233.167.104 grisoft.com
64.233.167.104 sandbox.norman.no
64.233.167.104 www.pandasoftware.com
64.233.167.104 uk.trendmicro-europe.com


Sumom-A dépose un fichier nommé "Message to n00b LARISSA.txt" qui contient un message pour l'auteur du ver Assiral :

Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking
Saving the world from Bropia, the world n33ds saving from you!

'-S-K-Y-'-D-E-V-I-L-'


Capture(s) d'écran:

Sumom-A



http://www.pourriel.ca/