Worm.Win32_Nochod-A

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 152292 Octet(s)

Détails techniques:

A son exécution, Nochod-A affiche une fenêtre intitulée "Run-time Error" avec le message "Run-time Error #7: Out of memory."

Nochod-A se copie sous le nom "%System%\{nom_de_dossier_aléatoire}\csrss.exe" et pour se lancer à chaque démarrage, il ajoute les entrées de registre suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\csrss = "%System%\{nom_de_dossier_aléatoire}\csrss.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\csrss = "%System%\{nom_de_dossier_aléatoire}\csrss.exe"

Le ver modifie le fichier "win.ini" pour être sûr de démarrer à chaque démarrage de Windows :

[windows]
load = "%System%\{nom_de_dossier_aléatoire}\csrss.exe"
run = "%System%\{nom_de_dossier_aléatoire}\csrss.exe"

Sur Windows NT/2000/XP/2003, cela se traduit par l'ajout des entrées de registre suivantes :

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = "%System%\{nom_de_dossier_aléatoire}\csrss.exe"
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run = "%System%\{nom_de_dossier_aléatoire}\csrss.exe"

Le ver crée aussi un lien vers %System%\{nom_de_dossier_aléatoire}\csrss.exe appellé "csrss.lnk" dans le dossier "C:\Documents and Settings\tester\Menu Démarrer\Démarrage" afin de se lancer à chaque démarrage de Windows.

Le ver dépose également les fichiers suivants :

- %System%\CPU.dll : un fichier utilisé pour récupérer des informations sur le système
- %System%\{nom_de_dossier_aléatoire}\csrss.ini : un fichier utilisé par le ver pour stocker des données de configuration
- %System%\{nom_de_dossier_aléatoire}\csrss.dat : un fichier de données (172 octets)

N.B. : Nochod-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Le ver met la valeur de registre suivante comme un marqueur d'infection :

HKCR\Chode\Installed = '1'


Propagation

Nochod-A envoie un e-mail avec une copie du ver, attachée en pièce-jointe, sur les adresses récoltées sur la machine infectée. L'adresse de l'émetteur est évidemment faussée.

Pour récupérer des adresses, le ver pioche dans les fichiers ayant les extensions :

dhtm
cgi
shtm
msg
oft
sht
dbx
tbb
adb
doc
wab
asp
uin
rtf
vbs
html
htm
pl
php
txt
eml
xml
ctt
sql

Le ver n'envoie pas d'e-mails aux adresses ayant les mots suivants :

abuse
antivirus
avp
bitdefender
f-pro
f-secure
fbi
kaspersky
mcafee
messagelabs
microsoft
norton
spam
symantec

L'adresse de l'émetteur est l'une d'elles :

securityresponse@symantec.com
security@microsoft.com
security@trendmicro.com

Sujet

Your computer may have been infected
Warning - you have been infected

Corps du message

Your message was undeliverable due to the following reason(s):

Your message could not be delivered because the destination server was unreachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configuration parameters. Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.

Your original message has been attached.

Pièce-jointe

Son nom peut être parmi l'un d'eux :

netsky_removal.exe
removal_tool.exe
message.pif
message.scr

Le ver est capable de se propager par le réseau MSN Messenger. Il envoie un message à tous les contacts, de la machine, connectés à MSN Messenger. Le message est choisie parmi cela :

lol check this out, it freaked me out :S
LOL! look at this, I can't explain it in words...
omg check this out, it's just wrong :O
ROFL!! you have to see this... wtf...
you have to see this, it's amazing!
holy shit you have to see this... :|
I just found this on a CD... you won't believe it! :|
dude check this out, it's awesome! :D
some random chick just sent me her picture, check it out ;)
haha you have to see this, I almost couldn't believe it! :O

Et attache un fichier ayant l'un des noms suivants :

naked lesbian twister
paris hilton
rofl
us together
omg
wtf
picture
gross
mypic
awesome

Avec l'une des extensions :

.scr
.pif


Nochod-A est controlable à distance par IRC. Une personne malveillante peut ainsi effectuer les actions suivantes :

- Initialiser l'envoi des e-mails
- Initialiser la propagation du ver par MSN Messenger
- Flooder des systèmes ciblés (via ping, HTTP, UDP, TCP - attaques par Déni de Service)
- Récupérer des informations sur le système (CPU, RAM, système d'exploitation, etc...)
- Connaître la version du ver
- Mettre à jour le ver
- Télécharger et exécuter des fichiers
- Désinstaller le ver
- Déposer et exécuter des fichiers
- Récupérer des informations sur le temps durant lequel le système est en fonction

Le ver termine les processus suivants :

bbeagle.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccsetmgr.exe
d3dupdate.exe
enterprise.exe
gcasdtserv.exe
gcasserv.exe
hijackthis.exe
i11r54n4.exe
irun4.exe
isafe.exe
issvc.exe
kav.exe
kavsvc.exe
mcagent.exe
mcdash.exe
mcinfo.exe
mcmnhdlr.exe
mcshield.exe
mcvsescn.exe
mcvsftsn.exe
mcvsrte.exe
mcvsshld.exe
mpfagent.exe
mpfservice.exe
mpftray.exe
msblast.exe
msconfig.exe
mscvb32.exe
mskagent.exe
mwincfg32.exe
navapsvc.exe
navapw32.exe
navw32.exe
npfmntor.exe
outpost.exe
pandaavengine.exe
penis32.exe
regedit.exe
smc.exe
sndsrvc.exe
spbbcsvc.exe
symlcsvc.exe
sysinfo.exe
sysmonxp.exe
teekids.exe
usrprmpt.exe
vsmon.exe
wincfg32.exe
winsys.exe
winupd.exe
zapro.exe
zlclient.exe

Le ver stoppe aussi bon nombre de virus et de pare-feu et les empêchant de se lancer au démarrage , il stoppe ainsi :

Cleanup
MCAgent Exe
MCUpdate Exe
Outpost Firewall
SmcService
Symantec NetDriver Monitor
VSOCheckTask
VirusScan Online
ccApp
gcasserv

Le ver modifie le fichier Hosts afin de rediriger les utilisateurs vers le localhost. Il redirige ainsi :

avp.com
www.avp.com
ca.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
fastclick.net
ftp.f-secure.com
ftp.sophos.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.com
www.viruslist.com
www.awaps.net
www.ca.com
www.f-secure.com
www.fastclick.net
ww.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www3.ca.com
www.grisoft.com
grisoft.com
housecall.trendmicro.com
trendmicro.com
www.trendmicro.com
www.pandasoftware.com
pandasoftware.com
kaspersky.com
www.kaspersky.com
www.zonelabs.com
zonelabs.com
phpbb.com
www.phpbb.com
www.spywareinfo.com
spywareinfo.com
www.merijn.org
merijn.org


Le ver modifie cette entrée de la base de registre, afin de rendre indisponible l'édition de la base de registre :

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools = 1

Pour cacher certains fichiers, le ver modifie les entrées de registre suivantes :

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = 0

Le ver modifie enfin cette entrée, pour ne pas que les utilisateurs puissent voir les configurations de l'administration à distance sur la machine locale :

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoAdminPage = 1

Nochod-A peut également déposer les fichiers suivants :

- 38400 octets : utilitaire utilisé pour voler des comptes de messagerie électronique sur l'ordinateur infecté
- 32768 octets : un utilitaire gratuit connu sous le nom "Intelligent TCPIP.SYS patcher"
- 67104 octets : un utilitaire utilisé pour récupérer les mots de passe des logiciels de messagerie instantanée du système infecté