Worm.Win32_Kassbot-B

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 36352 Octet(s)

Détails techniques:

A son exécution, Kassbot-B se copie dans le répertoire %System% sous le nom :

mmsvc32.exe

Afin d'être lancé à chaque démarrage de Windows, il ajoute l'entrée de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Network Services Controller = "%System%\mmsvc32.exe"

N.B. : Kassbot-B détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Il modifie le fichier HOSTS pour rediriger l'accès aux sites suivants vers le localhost (127.0.0.1) :

lloydstsb.co.uk
online.lloydstsb.co.uk
www.lloydstsb.co.uk
www.lloydstsb.com
personal.barclays.co.uk
barclays.co.uk
ibank.barclays.co.uk
www.barclays.co.uk
www.nwolb.com
nwolb.com
hsbc.co.uk
www.hsbc.co.uk
abbey.com
www.abbey.com
www.abbey.co.uk
abbey.co.uk
cahoot.com
www.cahoot.com
www.cahoot.co.uk
cahoot.co.uk
www.co-operativebank.co.uk
co-operativebank.co.uk
www.co-operativebank.com
co-operativebank.com
welcome2.co-operativebankonline.co.uk
welcome6.co-operativebankonline.co.uk
welcome8.co-operativebankonline.co.uk
welcome10.co-operativebankonline.co.uk
www.smile.co.uk
smile.co.uk


Kassbot-B peut se connecter au serveur HTTP et FTP du domaine nnpyf.cplnn.com afin de savoir s'il peut se mettre à jour.

Le ver se propage en utilisant une vulnérabilité relative à Windows (port 135). Pour plus d'informations sur cette dernière, consultez le bulletin de sécurité Microsoft MS03-026.




NEWSNOW