Troj_Donbomb-A
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 206848 Octet(s)
Détails techniques:
Quand il est exécuté, Donbomb-A dépose et exécute une copie de lui-même dans le répertoire %Windir% sous l'un des noms suivants :
ctflog.exe
explore.exe
inetinfomon.exe
MPM.exe
service.exe
winlog.exe
Donbomb-A modifie les attributs de ce fichier pour le rendre "caché", le rendant ainsi plus difficilement détectable. Pour être lancé à chaque démarrage de Windows, Donbomb-A crée ensuite l'une des 2 entrées de registre suivantes :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
{nom_du_fichier_sans_extension} manager
= "%Windir%\{nom_du_fichier}"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
{nom_du_fichier_sans_extension} manager
= "%Windir%\{nom_du_fichier}"
N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.
Donbomb-A vérifie l'existance des clés de registre suivantes afin d'obtenir des informations sur la session ouverte (comptes utilisateur, serveurs SMTP, etc...) :
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts
HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts
HKEY_CURRENT_USER\Software\Qualcomm\Eudora\CommandLine\current
Documents and Settings\{utilisateur}\Application Data\Mozilla\Profiles\default\
Donbomb-A génère des adresses e-mails en combinant divers mots avec des noms de domaine, qu'il ajoute aux adresses e-mails récoltées :
Mot
about
abrupt
acetic
actinolite
Alana
Alexandria
Alvarado
anarch
apocryphal
blacksmith
blown
bolometer
Caldwell
Carlos
Carson
codfish
crystallite
Cummings
Curtis
dairymen
David
deducible
detour
diffusible
diurnal
Edward
Ellis
Fernandez
french
frostbite
Hillary
Hudson
hydrochemistry
Jimenez
Kenneth
loretta
Luisa
mail-hub
mail-relay
Malinda
Martinez
Mccoy
Mckinney
mentor
Oliver
reactionary
relay
relay
relay1
relay2
Ronald
Scott
Sharp
slovakia
Thomas
Torres
Victor
Wagner
Walton
Williams
wooden
Nom de domaine
aol.com
msn.com
yahoo.com
Voici les caractéristiques du courrier envoyé (voir capture d'écran) :
Objet : TERROR HITS LONDON
Expéditeur : "CNN Newsletter" {breakingnews@cnnonline.com}
Corps du message : {Un code HTML modifié ressemblant à une page de chez CNN et concernant les attentats Londoniens}
Pièce-jointe : LondonTerrorMovie.zip
Cette pièce-jointe comporte le fichier :
London Terror Moovie.avi{beaucoup d'espaces}.exe
Capture(s) d'écran:
Taille: 206848 Octet(s)
Détails techniques:
Quand il est exécuté, Donbomb-A dépose et exécute une copie de lui-même dans le répertoire %Windir% sous l'un des noms suivants :
ctflog.exe
explore.exe
inetinfomon.exe
MPM.exe
service.exe
winlog.exe
Donbomb-A modifie les attributs de ce fichier pour le rendre "caché", le rendant ainsi plus difficilement détectable. Pour être lancé à chaque démarrage de Windows, Donbomb-A crée ensuite l'une des 2 entrées de registre suivantes :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
{nom_du_fichier_sans_extension} manager
= "%Windir%\{nom_du_fichier}"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
{nom_du_fichier_sans_extension} manager
= "%Windir%\{nom_du_fichier}"
N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.
Donbomb-A vérifie l'existance des clés de registre suivantes afin d'obtenir des informations sur la session ouverte (comptes utilisateur, serveurs SMTP, etc...) :
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts
HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts
HKEY_CURRENT_USER\Software\Qualcomm\Eudora\CommandLine\current
Documents and Settings\{utilisateur}\Application Data\Mozilla\Profiles\default\
Donbomb-A génère des adresses e-mails en combinant divers mots avec des noms de domaine, qu'il ajoute aux adresses e-mails récoltées :
Mot
about
abrupt
acetic
actinolite
Alana
Alexandria
Alvarado
anarch
apocryphal
blacksmith
blown
bolometer
Caldwell
Carlos
Carson
codfish
crystallite
Cummings
Curtis
dairymen
David
deducible
detour
diffusible
diurnal
Edward
Ellis
Fernandez
french
frostbite
Hillary
Hudson
hydrochemistry
Jimenez
Kenneth
loretta
Luisa
mail-hub
mail-relay
Malinda
Martinez
Mccoy
Mckinney
mentor
Oliver
reactionary
relay
relay
relay1
relay2
Ronald
Scott
Sharp
slovakia
Thomas
Torres
Victor
Wagner
Walton
Williams
wooden
Nom de domaine
aol.com
msn.com
yahoo.com
Voici les caractéristiques du courrier envoyé (voir capture d'écran) :
Objet : TERROR HITS LONDON
Expéditeur : "CNN Newsletter" {breakingnews@cnnonline.com}
Corps du message : {Un code HTML modifié ressemblant à une page de chez CNN et concernant les attentats Londoniens}
Pièce-jointe : LondonTerrorMovie.zip
Cette pièce-jointe comporte le fichier :
London Terror Moovie.avi{beaucoup d'espaces}.exe
Capture(s) d'écran:
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
