Worm.Win32_Berkor-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 46592 Octet(s)

Détails techniques:

A son exécution, Berkor-A se copie sous un nom aléatoire dans le dossier %System%, il dépose également un fichier DLL (Dynamic Link Library), dans le même dossier, au nom aléatoire.

Ces noms de fichiers comportent généralement 8 caractères et se terminent par "32".

Par exemple :

%System%\Diohjbik.exe
%System%\Bbbckp32.dll


N.B. : Berkor-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Afin d'être lancé à chaque démarrage de Windows, le ver ajoute les entrées de registre suivantes :

HKCR\CLSID\{id_unique}\
InProcServer32\(Default) = "%System%\
{aléatoire}.dll"

HKCR\CLSID\
{id_unique}\I
nProcServer32\ThreadingModel = "Apartment"

HKLM\Software\Microsoft\Windows\
CurrentVersion\ShellServiceObjectDelayLoad\
{caractères_aléatoires} = {id_unique}

N.B. : {id_unique} est une valeur générée aléatoirement par le ver.

Berkor-A dépose également le fichier "boot.sys" dans le répertoire racine (généralement C:\) et l'exécute. Ce fichier est en fait un cheval de Troie connu sous le nom Blewfit-A.

Berkor-A ajotue l'entrée de registre suivante en tant que marqueur d'infection :

HKCU\Software\Microsoft\Windows\KKQHOOK = 28

Le ver dépose un fichier batch dans le dossier %System% et l'exécute, ce qui a pour conséquence de supprimer l'exécutable qui a lancé l'infection du ver.

Propagation

Le ver génère une liste d'adresses IP et essaie de se connecter au port 445 de ces cibles afin d'exploiter une vulnérabilité relative au composant LSASS de Windows. Si il y parvient, une copie du ver est téléchargée sur l'ordinateur de la nouvelle victime.

Pour plus d'informations concernant cette faille, veuillez constuler le bulletin de sécurité Windows MS04-011.

Berkor-A tente de voler des informations confidentielles (nom d'utilisateur, mot de passe, etc...), relatives aux utilisateurs de l'ordinateur qui se connecte sur les sites financiers suivants :

barclays.com
new.egg.com
royalbank.com
www.allahabadbank.com
www.baltbank.ru
www.bmo.com
www.cbr.ru
www.masterbank.ru
www.vtb.ru


Le ver utilise Internet Explorer pour envoyer ces informations récoltées qui seront accessibles par l'auteur du virus. Il crée un fichier .html, au nom aléatoire, dans le dossier %Temp%. Il crée un nouveau "Desktop" avec le nom "blind_user" et lance Iexplorer.exe en tant que process sous le nouveau "Desktop" créé.
Le fichier .html créé contient un script qui envoie les données capturées à l'auteur du virus.

N.B. : Le ver détermine l'emplacement du dossier %Temp% de l'utilisateur en fonction du système d'exploitation. Généralement C:\Documents and Settings\{nom_d'utilisateur}\Local Settings\Temp ou C:\WINDOWS\TEMP.

Le ver désactive les services suivants :

klpid
klpf
klif
vsdatant
vsmon
kmxsbx
kmxndis
kmxids
kmxfw
kmxfile
kmxcfg
kmxbig
kmxagent
UmxCfg
UmxAgent
UmxLU
UmxPol
SmcService
sfilter
lnsfw1
OutpostFirewall
sharedaccess
McAfee Framework Service
Detector de OfficeScanNT
ZoneAlarm
Panda Antivirus
Norton Antivirus Service
Kaspersky Anti-Hacker.lnk
Zone Labs Client
AMonitor


Le ver modifie les options de sécurité d'Internet Explorer :

HKCU\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\0\1601 = 0

HKLM\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\0\1601 = 0

HKCU\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\1\1601 = 0

HKLM\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\1\1601 = 0

HKCU\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\2\1601 = 0

HKLM\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\2\1601 = 0

HKCU\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\3\1601 = 0

HKLM\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\3\1601 = 0

HKCU\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\4\1601 = 0

HKLM\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\4\1601 = 0

HKCU\Software\Policies\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\0\1601 = 0

HKLM\Software\Policies\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\0\1601 = 0

HKCU\Software\Policies\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\1\1601 = 0

HKLM\Software\Policies\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\1\1601 = 0

HKCU\Software\Policies\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\2\1601 = 0

HKLM\Software\Policies\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\2\1601 = 0

HKCU\Software\Policies\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\3\1601 = 0

HKLM\Software\Policies\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\3\1601 = 0

HKCU\Software\Policies\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\4\1601 = 0

HKLM\Software\Policies\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\4\1601 = 0

HKCU\Software\Microsoft\Internet Explorer\Main\FeatureControl\
FEATURE_LOCALMACHINE_LOCKDOWN\iexplore.exe = 0


La ligne suivante est modifiée pour s'assurer que Internet Explorer ne travaille pas "hors connexion" :

HKCU\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\GlobalUserOffline = 0


Sur les systèmes Windows 95/98/Me, la valeur suivante est ajoutée pour s'assurer que Internet Explorer n'interfère pas avec les autres process :

HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\
Explorer\BrowseNewProcess\BrowseNewProcess = "yes"


Le ver est capable de télécharger des mises à jour de lui-même en envoyant des requêtes sur des sites spécifiques. Ces mises à jour sont téléchargées dans le répertoire %System% sous un nom aléatoire avec l'extension .dat.




http://www.blocus-zone.com/