Worm.Win32_Bobax-P
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 31232 Octet(s)
Détails techniques:
Une fois exécuté, Bobax-P dépose une copie de lui-même dans le dossier %System% sous un nom de fichier aléatoire.
Pour être lancer à chaque démarrage de Windows, il crée les entrées de registre suivantes :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
{aléatoire} = "%System%\{aléatoire}.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
{aléatoire} = "%System%\{aléatoire}.exe"
N.B. : Bobax-P détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Le ver compromet le système en modifiant les entrées de registre suivantes :
HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center
AntiVirusDisableNotify = "dword:00000001"
HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center
AntiVirusOverride = "dword:00000001"
HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center
FirewallDisableNotify = "dword:00000001"
HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center
FirewallOverride = "dword:00000001"
HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center
UpdatesDisableNotify = "dword:00000001"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
DoNotAllowExceptions = "dword:00000000"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
DoNotAllowExceptions = "dword:00000000"
Ce ver dépose aussi un composant DLL (Dynamic Link Library), au nom aléatoire, qui sera injecté au process explorer.exe.
Propagation
Bobax-P se répand, par e-mail, en envoyant le cheval de Troie Small-AHE en pièce-jointe. Il Le ver utilise son propre serveur SMTP.
Objet
L'un d'eux :
bush
Cool
funny
joke
pics
secret
Corps du message
L'un d'eux :
- Attached some pics that i found
- Check this out :-)
- Hello,
- I was going through my album, and look what I found..
- Long time! Check this out!
- Osama Bin Laden Captured.
- Remember this?
- Saddam Hussein - Attempted Escape, Shot dead
- Secret!
- Testing
Suivi de l'une de ces phrases :
- +++ Attachment: No Virus found
- +++ F-Secure AntiVirus - You are protected
- +++ Norman AntiVirus - You are protected
- +++ Norton AntiVirus - You are protected
- +++ Panda AntiVirus - You are protected
- +++ www.f-secure.com
- +++ www.norman.com
- +++ www.pandasoftware.com
- +++ www.symantec.com
Pièce-jointe
L'un des noms suivants :
bush
funny
joke
pics
secret
avec l'une des extensions suivantes :
.exe
.pif
.scr
Bobax-P récolte les e-mails cibles dans les fichiers cachés de .NET Messenger Service, dans le carnet d'adresse d'Outlook et dans les fichiers ayant pour extensions :
.dbx
.htm
.txt
Le ver évite, cependant, d'envoyer des courriers électroniques aux adresses comportant les mots suivants :
.gov
.mil
admi
afee
help
kasp
micr
nort
ogle
pand
secu
soph
supp
ter@
tren
urhq
viru
yman
L'adresse d'envoi est bien entendu modifiée en combinant le nom d'utilisateur du système infectée et l'adresse @yahoo.com.
Il peut aussi envoyer ses messages en utilisant l'un des serveurs SMTP en consultant la clé de registre :
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts
Le ver peut générer une liste d'adresses IP et essaie de se connecter au port 445 de ces cibles afin d'exploiter une vulnérabilité relative au composant LSASS de Windows. Si il y parvient, une copie du ver est téléchargée sur l'ordinateur de la nouvelle victime.
Pour plus d'informations concernant cette faille, veuillez constuler le bulletin de sécurité Windows MS04-011.
Le ver modifie le fichier HOSTS dans le but de rediriger l'accès aux sites suivants vers l'adresse IP 255.255.255.255 :
ar.atwola.com
atdmt.com
avp.chavp.com
avp.ruawaps.net
ca.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.viruslist.ru
www3.ca.com
Bobax-P peut également télécharger les fichiers inoffensifs ci-dessous :
- download.yahoo.com/dl/installs/msgr6suite.exe
- ftp://ftp.icq.com/pub/ICQ_win95_98_NT4/ICQ4/lite_edition/icq4_setup.exe
- ftp://ftp.newaol.com/aim/win95/Install_AIM.exe
- ftp://ftp.scarlet.be/pub/mozilla.org/firefox/releases/1.0/win32/en-US/Firefox Setup 1.0.exe
- g.msn.com/7MEEN_US/EN/SETUPDL.EXE
Taille: 31232 Octet(s)
Détails techniques:
Une fois exécuté, Bobax-P dépose une copie de lui-même dans le dossier %System% sous un nom de fichier aléatoire.
Pour être lancer à chaque démarrage de Windows, il crée les entrées de registre suivantes :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
{aléatoire} = "%System%\{aléatoire}.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
{aléatoire} = "%System%\{aléatoire}.exe"
N.B. : Bobax-P détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Le ver compromet le système en modifiant les entrées de registre suivantes :
HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center
AntiVirusDisableNotify = "dword:00000001"
HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center
AntiVirusOverride = "dword:00000001"
HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center
FirewallDisableNotify = "dword:00000001"
HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center
FirewallOverride = "dword:00000001"
HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center
UpdatesDisableNotify = "dword:00000001"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
DoNotAllowExceptions = "dword:00000000"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
DoNotAllowExceptions = "dword:00000000"
Ce ver dépose aussi un composant DLL (Dynamic Link Library), au nom aléatoire, qui sera injecté au process explorer.exe.
Propagation
Bobax-P se répand, par e-mail, en envoyant le cheval de Troie Small-AHE en pièce-jointe. Il Le ver utilise son propre serveur SMTP.
Objet
L'un d'eux :
bush
Cool
funny
joke
pics
secret
Corps du message
L'un d'eux :
- Attached some pics that i found
- Check this out :-)
- Hello,
- I was going through my album, and look what I found..
- Long time! Check this out!
- Osama Bin Laden Captured.
- Remember this?
- Saddam Hussein - Attempted Escape, Shot dead
- Secret!
- Testing
Suivi de l'une de ces phrases :
- +++ Attachment: No Virus found
- +++ F-Secure AntiVirus - You are protected
- +++ Norman AntiVirus - You are protected
- +++ Norton AntiVirus - You are protected
- +++ Panda AntiVirus - You are protected
- +++ www.f-secure.com
- +++ www.norman.com
- +++ www.pandasoftware.com
- +++ www.symantec.com
Pièce-jointe
L'un des noms suivants :
bush
funny
joke
pics
secret
avec l'une des extensions suivantes :
.exe
.pif
.scr
Bobax-P récolte les e-mails cibles dans les fichiers cachés de .NET Messenger Service, dans le carnet d'adresse d'Outlook et dans les fichiers ayant pour extensions :
.dbx
.htm
.txt
Le ver évite, cependant, d'envoyer des courriers électroniques aux adresses comportant les mots suivants :
.gov
.mil
admi
afee
help
kasp
micr
nort
ogle
pand
secu
soph
supp
ter@
tren
urhq
viru
yman
L'adresse d'envoi est bien entendu modifiée en combinant le nom d'utilisateur du système infectée et l'adresse @yahoo.com.
Il peut aussi envoyer ses messages en utilisant l'un des serveurs SMTP en consultant la clé de registre :
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts
Le ver peut générer une liste d'adresses IP et essaie de se connecter au port 445 de ces cibles afin d'exploiter une vulnérabilité relative au composant LSASS de Windows. Si il y parvient, une copie du ver est téléchargée sur l'ordinateur de la nouvelle victime.
Pour plus d'informations concernant cette faille, veuillez constuler le bulletin de sécurité Windows MS04-011.
Le ver modifie le fichier HOSTS dans le but de rediriger l'accès aux sites suivants vers l'adresse IP 255.255.255.255 :
ar.atwola.com
atdmt.com
avp.chavp.com
avp.ruawaps.net
ca.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.viruslist.ru
www3.ca.com
Bobax-P peut également télécharger les fichiers inoffensifs ci-dessous :
- download.yahoo.com/dl/installs/msgr6suite.exe
- ftp://ftp.icq.com/pub/ICQ_win95_98_NT4/ICQ4/lite_edition/icq4_setup.exe
- ftp://ftp.newaol.com/aim/win95/Install_AIM.exe
- ftp://ftp.scarlet.be/pub/mozilla.org/firefox/releases/1.0/win32/en-US/Firefox Setup 1.0.exe
- g.msn.com/7MEEN_US/EN/SETUPDL.EXE
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
