_Nibu-J

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 27985 Octet(s)

Détails techniques:

Quand il est exécuté, Nibu-J dépose les fichiers suivants :

Windir%\dvpd.dll
%Windir%\prntsvra.dll
%System%\winldra.exe - copie de Nibu-J

N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT. Nibu-J détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Puis il dépose des fichiers inoffensifs :

%Windir%\netdx.dat
%Temp%\fe43e701.htm

N.B. : Nibu-J détermine l'emplacement du dossier %Temp% de l'utilisateur en fonction du système d'exploitation. Généralement C:\Documents and Settings\{nom_d'utilisateur}\Local Settings\Temp ou C:\WINDOWS\TEMP.

Pour être lancé à chaque démarrage de Windows, Nibu-J crée les entrées de registre suivantes :

HKEY_CURRENT_USER\Software\SARS
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
load32 = "%System%\winldra.exe"

Cette porte dérobée envoie un paquet vers l'url http:/kimart.bi{censuré}1euyhw/logger.php informant de sa bonne installation. Elle ouvre ensuite un port TCP au hasard, attendant ainsi des commandes d'un utilisateur malveillant distant.

Nibu-J comporte un composant d'écoute des touches. Le programme enregistre toutes les touches frappées, si l'utilisateur ouvre un site Internet dont l'url possède l'un des noms suivants :

Bookmak
bookmak
Casino
casino
e-metal
Fethard
fethard
Invest
invest
Keeper
Member
member
Money
money
PayPal
Storm
WM Keeper
365online.co
abbey.co
aeacu.com
alliance-leicesterbusinessbanking.co
ameritrade.com
bankofscotland.co
barclays.co
citibank.com
e-gold.com
emocorp.com
enternetbank.com
etrade.co
firstdirect.co
halifax.co
hsbc.co
intgold.com
jacksonstatebank.com
lloydstsb.co
natwest.co
netmastergold.co
plainscapital.com
rbs.co
smile.co
uboc.com
virginone.co
zurichbank.co

Nibu-J vole aussi des informations sensibles (nom d'utilisateur, mot de passe, etc...) concernant les applications suivantes :

Email POP3 passwords
Far Manager passwords
The Bat passwords
Total Commander FTP passwords
WebMoney user IDs

La porte dérobée peut également prendre des captures d'écran du bureau de l'utilisateur. Toutes les informations récoltées seront sauvegardées dans le fichier %Windir%\prntc.log.
Nibu-J utilise son propre moteur SMTP pour envoyer les données ainsi obtenues vers une adresse e-mail du domaine Yandex.ru.

Nibu-J modifie le fichier HOSTS pour empêcher l'accès aux sites suivants :

avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
us.mcafee.com/root/
viruslist.com
www.avp.com
www.ca.com
www.f-secure.com
www.kaspersky.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.trendmicro.com
www.viruslist.com
www.symantec.com