Worm.Win32_Wurmark-M

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 75264 Octet(s)

Détails techniques:

Wurmark-M arrive dans un fichier ZIP attaché à un e-mail.

Une fois exécuté, Wurmark-M dépose une copie du ver dans le dossier %System% sous un nom aléatoirement généré.

Afin de se lancer à chaque démarrage, le ver ajoute l'entrée de registre suivante :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run

{nom_du_malware_sans_extension} = "{nom_du_malware}"

N.B. : Wurmark-M détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Wurmark-M dépose également, dans le même répertoire, un fichier DLL (Dynamic Link Library) qui est en réalité un spyware. Ce composant est un "Browser Helper Object" (BHO : c'est programme qui s'ajoute au navigateur Internet) qui permet d'enregistrer les touches tappées au clavier dans un fichier DLL.

Le ver dépose tout un tas de fichiers dans le dossier %System% lui permettant de les ajouter dans la pièce-jointe des mails qu'il envoie :

details.zip
girls.zip
image.zip
love.zip
message.zip
music.zip
news.zip
photo.zip
pic.zip
readme.zip
resume.zip
screensaver.zip
song.zip
video.zip


Le contenu des fichiers ZIP contient respectivement les fichiers suivants :

details.doc{beaucoup d'espaces}.scr
girls.jpg
{beaucoup d'espaces}.scr
image.jpg
{beaucoup d'espaces}.scr
love.jpg
{beaucoup d'espaces}.scr
message.txt
{beaucoup d'espaces}.scr
music.mp3
{beaucoup d'espaces}.scr
news.doc
{beaucoup d'espaces}.scr
photo.jpg
{beaucoup d'espaces}.scr
pic.jpg
{beaucoup d'espaces}.scr
readme.txt
{beaucoup d'espaces}.scr
resume.doc
{beaucoup d'espaces}.scr
screensaver
{beaucoup d'espaces}.scr
song.wav
{beaucoup d'espaces}.scr
video.avi
{beaucoup d'espaces}.scr

Le ver se répand par e-mail en utilisant son propre moteur SMTP. Il recherche aussi, dans l'entrée de registre suivante, les serveurs SMTP disponibles :

HKEY_CURRENT_USER\ Software\Microsoft\Internet Account Manager\Accounts

Il utilise alors n'importe quel serveur trouvé pour se propager.

L'e-mail contient les caractéristiques suivantes :

Objet

L'un de ceux-là :

details
girls
image
love
message
music
news
photo
pic
readme
resume
screensaver
song
video


Corps du message

{vierge}

Pièce-jointe

L'une d'elles :

details.zip
girls.zip
image.zip
love.zip
message.zip
music.zip
news.zip
photo.zip
pic.zip
readme.zip
resume.zip
screensaver.zip
song.zip
video.zip


Wurmark-M récolte les adresses des destinataires dans le répertoire "Temporary Internet files" et dans les fichiers dont les extensions sont :

.asp
.eml
.htm
.mbx
.sht
.tbb


Il évite d'envoyer des e-mails aux adresses contenant les mots suivants :

abuse
admin
hostmaster
localdomain
localhost
mcafee
messagelab
microsoft
noreply
postmaster
recipients
report
symantec
webmaster


Wurmark-M a été compilé sous Microsoft Visual C++.




http://www.generation-nt.com/