Worm.Win32_Tdiserv-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 65536 Octet(s)

Détails techniques:

Quand il est exécuté, Tdiserv-A crée le fichier %System%\_tdiserv_\setup.exe. Puis dépose les fichiers suivants :

%System%\_tdiserv_\_tdicli_.exe
%System%\_tdiserv_\TdiUpdate.sys
%System%\_tdiserv_\config.dat
%System%\_tdiserv_\autorun.inf
%System%\_tdiserv_\Guid.txt


N.B. : Tdiserv-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Tdiserv-A crée un service ayant les propriétées suivantes :

Nom : TdiHook Update Driver
Chemin : %System%\_tdiserv_\TdiUpdate.sys
Description : S'exécute à chaque démarrage de Windows

Puis, pour créer le service "TdiHook Update Driver", il ajoute les entrées de registre suivantes :

HKEY_LOCAL_MAHINE\SYSTEM\CurrentControlSet\Services\_tdiserv_HOOK
"DisplayName" = "TdiHook Update Driver"
"ErroControl" = "1"
"ImagePath" = "%System%\_tdiserv_\TdiUpdate.sys"
"Start" = "3"
"Type" = "1"


Tous ces fichiers et ces entrées de registre sont masquées par le rootkit et sont uniquement visibles si l'utilisateur démarre en "mode sans échec".

Afin de lancer le rootkit à chaque démarrage de Windows, Tdiserv-A ajoute l'entrée de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"_tdiserv_" = "%System%\_tdiserv_\_tdicli_.exe"


Il modifie également le comportement de certains programmes, qui seraient susceptibles de trouver sa présence. Pour cela, il intercepte les appels API suivants :

ZwQueryDirectoryFile
ZwQuerySystemInformation
ZwEnumerateValueKey
ZwOpenKey
ZwEnumerateKey
ZwQueryKey


Il masque le démarrage des processus ayant pour nom :

_tdicli_
_tdiserv_


Tdiserv-A tente de se répandre en se copiant dans tous les dossiers partagés sous les noms :

autorun.inf
ms.config\setup.exe


Le ver contacte un serveur distant sur le port 80 afin de télécharger et d'exécuter du code arbitraire.




http://www.securiteinfo.com/