Worm.Win32_Chod-B

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 152204 Octet(s)

Détails techniques:

Quand Chod-B est exécuté, il dépose les fichiers suivants :

%System%\cpu.dll
%System%\{dossier_aléatoire}\csrss.dat
%System%\{dossier_aléatoire}\csrss.exe
%System%\{dossier_aléatoire}\csrss.ini
%Application Data%\Microsoft\CD_Burning\Autorun.exe


N.B. : Le ver détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Et affiche les messages suivants :

Run-time Error
Run-time error #7: Out of memory


Il est possible qu'il dépose aussi le raccourci :

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\csrss.Ink

Afin de se lancer à chaque démarrage de Windows, le ver ajoute les entrées de registre suivantes :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run = "Csrss" = "%System%\[random folder name]\csrss.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run = "Csrss" = "%System%\[random folder name]\csrss.exe"
HKEY_CLASSES_ROOT\Chode = "Installed" = "1"
HKEY_CURRENT_USER\Software\Chode = "Installed" = "1"


Le ver empêche d'autres applications de se lancer au démarrage en supprimant les entrées suivantes :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CAISafe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccProxy
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccPwdSvc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccSetMgr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ISSVC
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCAgentExe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\navapsvc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OutpostFirewall
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PcCtlCom
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SAVScan
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SBService
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SmcService
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SPBBCSvc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vsmon


Puis ajoute les entrées :

"Hidden" = "2"
"SuperHidden" = "0"
"ShowSuperHidden" = "0"


à la clef :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

De ce fait, le fichier déposé est caché.

Le ver supprime valeurs suivantes (de la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) :

TmPfw
tmproxy
Tmntsrv
net stop
sc config
start
CleanUp
MCUpdateExe
VirusScan Online
VSOCheckTask
ccApp
Symantec NetDriver Monitor
Outpost Firewall
gcasServ
pccguide.exe
KAVPersonal50
Zone Labs Client
services
microsoft antispyware
hijackthis


Le ver ajoute les valeurs :

"DisableRegistryTools" = "1"
"NoAdminPage" = "1"


à la clef :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Afin de désactiver l'éditeur de base de registre.
Il ajoute enfin les valeurs :

"Load" = "%System%\{dossier_aléatoire}\csrss.exe"
"run" = "%System%\{dossier_aléatoire}\csrss.exe"


à la clef :

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows


Propagation

Pour récolter des adresses e-mails, Chod-B cherche les fichiers ayant les extensions suivantes :

.adb
.asp
.cgi
.ctt
.dbx
.dhtm
.doc
.eml
.htm
.html
.msg
.oft
.php
.pl
.rtf
.sht
.shtm
.sql
.tbb
.txt
.uin
.vbs
.wab
.xml


Chod-B ne prend pas en compte les adresses comportant les mots suivants :

.gov
.mil
abuse
antivirus
avp
bitdefender
f-pro
f-secure
fbi
kaspersky
mcafee
messagelabs
microsoft
norton
spam
symantec


Chod-B utilise son propre serveur SMTP pour envoyer son e-mails contaminé, dont voici les caractéristiques :

Expéditeur

L'une de ces adresses :

security@microsoft.com
security@trendmicro.com
securityresponse@symantec.com


Objet

L'un d'eux :

Warning - you have been infected!
Your computer may have been infected


Corps du message

L'un d'eux :

- Your message was undeliverable due to the following reason(s):
Your message could not be delivered because the destination server was unreachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configuration parameters. Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.

- Your original message has been attached.

Pièce-jointe

Le nom est choisie parmi l'un d'eux :

netsky_removal.exe
removal_tool.exe
message.pif
message.scr



Chod-B tente également de se propager par MSN Messenger en invitant les contacts connectés, de l'utilisateur, à télécharger le ver. Le ver écrit aux contacts l'un des messages suivants :

- check out what I just found on some stupid website
- dude check this out, it's awesome! :D
- haha you have to see this, I almost couldn't believe it! :O
- holy shit you have to see this... :|
- I just found this on a CD... you won't believe it! :|
- LOL! look at this, I can't explain it it in words..
- naked lesbian twister
- omg check this out, it's just wrong :O
- ROFL!! you have to see this... wtf...
- you have to see this, it freaked me out :S
- you have to see this, it's amazing!

Nom du fichier :

check this out
gross
my sister's webcam
mypic
paris hilton
picture
rofl
us together
wtf


Extension :

.pif
.src


Chod-B modifie le fichiers HOSTS pour empêcher la visite des sites suivants :

avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
fastclick.net
ftp.f-secure.com
ftp.sophos.com
grisoft.com
housecall.trendmicro.com
kaspersky.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
merijn.org
my-etrust.com
nai.com
networkassociates.com
pandasoftware.com
phpbb.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spywareinfo.com
support.microsoft.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.com
www.avp.com
www.awaps.net
www.ca.com
www.f-secure.com
www.fastclick.net
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.merijn.org
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.pandasoftware.com
www.phpbb.com
www.sophos.com
www.spywareinfo.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.zonelabs.com
www3.ca.com
zonelabs.com


Puis termine les processus suivants :

bbeagle.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccsetmgr.exe
d3dupdate.exe
enterprise.exe
gcasdtserv.exe
gcasserv.exe
hijackthis.exe
i11r54n4.exe
irun4.exe
isafe.exe
issvc.exe
kav.exe
kavsvc.exe
mcagent.exe
mcdash.exe
mcinfo.exe
mcmnhdlr.exe
mcshield.exe
mcvsescn.exe
mcvsftsn.exe
mcvsrte.exe
mcvsshld.exe
mpfagent.exe
mpfservice.exe
mpftray.exe
msblast.exe
msconfig.exe
mscvb32.exe
mskagent.exe
mwincfg32.exe
navapsvc.exe
navapw32.exe
navw32.exe
npfmntor.exe
outpost.exe
pandaavengine.exe
pccguide.exe
pcclient.exe
pcctlcom.exe
penis32.exe
regedit.exe
smc.exe
sndsrvc.exe
spbbcsvc.exe
symlcsvc.exe
sysinfo.exe
sysmonxp.exe
teekids.exe
tmntsrv.exe
tmpfw.exe
tmproxy.exe
usrprmpt.exe
vsmon.exe
wincfg32.exe
winsys.exe
winupd.exe
zapro.exe
zlclient.exe


Chod-B installe une porte dérobée sur la machine infectée, permmetant à un utilisateur malveillant de faire les actions suivantes par IRC :

- Télécharger et exécuter des fichiers
- Installer ou désinstaller un IRCD
- Effectuer des attaques par DoS (Déni de services)
- Envoyer des e-mails
- Eteindre et redémarrer l'ordinateur
- Répandre le ver par e-mail et par MSN Messenger

Pour terminer, Chod-B essaie de voler les mots de passe des applications suivantes :

AOL Instant Messenger (older versions)
AOL Instant Messenger/Netscape 7
GAIM
ICQ Lite 4.x/2003
Miranda
MSN Messenger
Trillian
Windows Messenger (on Windows XP)
Yahoo Messenger (Versions 5.x and 6.x)


Pour ce faire, Chmod-B utilise l'un des outils suivants :

Intelligent TCPIP.SYS patcher
MessenPass
Protected Storage PassView





http://www.zebulon.fr/