Worm.Win32_Wurmark-J

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 80384 Octet(s)

Détails techniques:

Quand il est exécuté, Wurmark-J se copie dans le dossier %System% de Windows.

N.B. : Wurmark-J détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.


Puis le ver crée l'entrée de registre suivante afin de se lancer à chaque démarrage de Windows :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
{nom_du_malware_sans_extension} = "{nom_du_malware}"

Il dépose aussi un composant DLL (Dynamic Link Library) dans le même répertoire ; ce composant est un espiogiciel (spyware).

Le ver enregistre les touches tappées au clavier et les enregistre dans un fichier DLL au nom aléatoire.


Pour se propager, Wurmark-J cherche la clef de registre suivante pour connaître les sevreurs SMTP disponibles :

HKEY_CURRENT_USER\ Software\Microsoft\Internet Account Manager\Accounts

Voici les caractéristiques de l'e-mail :

Objet

Il est choisi parmi cette liste :

details
girls
image
love
message
music
news
photo
pic
readme
resume
screensaver
song
video


Corps du message

{vierge}

Pièce-jointe

Elle peut prendre l'un des noms suivants :

details.zip
girls.zip
image.zip
love.zip
message.zip
music.zip
news.zip
photo.zip
pic.zip
readme.zip
resume.zip
screensaver.zip
song.zip
video.zip


Contenu :

Le programme malveillant porte l'un des noms suivants :

details.doc{beaucoup d'espaces}.scr
girls.jpg
{beaucoup d'espaces}.scr
image.jpg
{beaucoup d'espaces}.scr
love.jpg
{beaucoup d'espaces}.scr
message.txt
{beaucoup d'espaces}.scr
music.mp3
{beaucoup d'espaces}.scr
news.doc
{beaucoup d'espaces}.scr
photo.jpg
{beaucoup d'espaces}.scr
pic.jpg
{beaucoup d'espaces}.scr
readme.txt
{beaucoup d'espaces}.scr
resume.doc
{beaucoup d'espaces}.scr
screensaver
{beaucoup d'espaces}.scr
song.wav
{beaucoup d'espaces}.scr
video.avi
{beaucoup d'espaces}.scr

Pour obtenir les adresses e-mails où envoyer le ver, Wurmark-J collecte les adresses contenues dans les fichiers, présents dans le répertoire Temporary Internet files, portant les extensions :

.asp
.dbx
.eml
.htm
.mbx
.sht
.tbb


Wurmark-J évite d'envoyer des e-mails aux adresses comportant les mots suivants :

abuse
admin
hostmaster
localdomain
localhost
mcafee
messagelab
microsoft
noreply
postmaster
recipients
reports
root
spam
symantec
webmaster





http://www.zebulon.fr/