Worm.Win32_Kalel-B

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Kalel-B affiche une boîte de message affichant le faux message d'erreur suivant :

Fatal Error: Exception Code=C00000005
Called from - frmimportwizard.pageframe1.page2.command1.click line 70
Called from - mail line 613


Kalel-B contacte les sites www.google.com et search.yahoo.com afin de collecter des adresses électroniques. Le ver s'envoie à ces adresses sous la forme d'une pièce jointe à un courriel.

Les messages sont envoyés avec l'objet suivant :

**WARNING** Mailbox Suspension

Le corps du message est le suivant :

This message was created automatically by mail delivery software (TMDA) - do not reply.
In order to safeguard your mailbox from unexpected termination, please read the attached document.

++ Attachment: No Virus found
++Norton AntiVirus
http://www.symantec.com


Lorsqu'il est exécuté pour la première fois, Kalel-B se copie aux emplacements suivants :

%Windows%\system\lsass.exe
%Windows%\system\services.exe
%Windows%\system\smss.exe


Kalel-B peut se copier dans l'un des dossiers suivants :

C:\My Downloads\
C:\My Shared Folder\
C:\program files\Ares\My Shared Folder\
C:\program files\BearShare\Shared\
C:\program files\direct connect\received files\
C:\program files\eDonkey2000\incoming\
C:\program files\eMule\Incoming\
C:\program files\gnucleus\downloads\
C:\program files\gnucleus\downloads\incoming\
C:\program files\grokster\my grokster\
C:\program files\grokster\my shared folder\
C:\program files\icq\shared files\
C:\program files\KaZaa Lite\My Shared Folder\
C:\program files\KaZaa\My Shared Folder\
C:\program files\KMD\my shared folder\
C:\program files\limeWire\shared\
C:\program files\Morpheus\my shared folder\
C:\program files\rapigator\share\
C:\program files\shareaza\downloads\
C:\program files\StreamCast\Morpheus\my shared folder\
C:\programmi\Ares\My Shared Folder\
C:\programmi\BearShare\Shared\
C:\programmi\direct connect\received files\
C:\programmi\eDonkey2000\incoming\
C:\programmi\eMule\Incoming\
C:\programmi\gnucleus\downloads\
C:\programmi\gnucleus\downloads\incoming\
C:\programmi\grokster\my grokster\
C:\programmi\grokster\my shared folder\
C:\programmi\icq\shared files\
C:\programmi\KaZaa Lite\My Shared Folder\
C:\programmi\KaZaa\My Shared Folder\
C:\programmi\KMD\my shared folder\
C:\programmi\limeWire\shared\
C:\programmi\Morpheus\my shared folder\
C:\programmi\rapigator\share\
C:\programmi\shareaza\downloads\
C:\Programmi\StreamCast\Morpheus\my shared folder\
C:\shared\


Kalel-B injecte les fichiers ZIP suivants, chacun contenant une copie du ver :

%Windows%\system\rockefeller64.zip
%Windows%\system\rockefeller65.zip
%Windows%\system\rockefeller66.zip


Kalel-B injecte les fichiers suivants, chacun contenant une copie de l'un des fichiers ZIP ci-dessus dans un format uuencoded :

%Windows%\system\rundll16.ref
%Windows%\system\rundll32.ref
%Windows%\system\rundll64.ref


Kalel-B injecte un fichier texte ROCKEFELLER.DAT dans le dossier %Windows%\system. Celui-ci contient le texte suivant :

W32.Rockerfeller@MM+P2P+BACKDOOR+KEYLOGGER

Kalel-B peut aussi créer d'autres fichiers avec les noms suivants :

%Windows%\system\rfdriver32.dll
%Windows%\system\mouse_drv16.ref
%Windows%\system\mouse_drv32.ocx
%Windows%\system\mouse_drv64.dat


Les entrées suivantes du registre sont créées pour exécuter le ver au démarrage :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows Service Controller
%Windows%\system\services.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MS Security Authority Service
%Windows%\system\lsass.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Windows Session Manager Subsystem
%Windows%\system\smss.exe





http://www.hackers-news.com/