Worm.Win32_Kassbot-E
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 223232 Octet(s)
Détails techniques:
Quand il est exécuté, Kassbot-E se copie sous le nom "%System%\spools.exe" et modifie le registre afin d'être lancé à chaque démarrage de Windows :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Spools Service Controller = "%System%\spools.exe"
Le ver dépose aussi un fichier texte inoffensif : xbccd.log.
N.B. : Kassbot-E détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Pour se répandre, Kassbot-E tire profit d'une faille sur les systèmes Windows. Pour plus d'informations sur cette vulnérabilité, veuillez consulter le site http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx.
Kassbot-E est utilisé afin de voler des informations sensibles (identifiant, mot de passe, etc...).
Le ver attend que l'utilisateur visite des sites particuliers (généralement des sites de banques en ligne et des sites de vente en ligne).
Le ver surveille :
- Les urls entrées dans la barre d'adresse d'Internet Explorer
- Les titres des fenêtres des pages visitées
- Les formulaires d'identification auprès des banques
- Les formulaires de transactions financières
Il enregistre toutes ces données dans le fichier ""%System%\xiecache.ssq", puis il les rend accessiblent sur un site Américain. Il détruiera le fichier par la suite.
Kassbot-E permet aussi à un attaquant d'obtenir un accès non autorisé sur l'ordinateur infecté. Le ver se connecte sur un serveur IRC bien particulieur et attend des commandes sur un canal IRC. De ce fait, l'attaquant peut :
- Lancer un serveur proxy SOCKS
- Organiser des attaques de type DDoS (déni de service distribué)
- Flooder des urls
- Télécharger et exécuter des fichiers
- Lister les process actifs
- Terminer des process
- Supprimer des fichiers
- Redémarrer le système
- Rediriger les sites visités par l'utilisateur
- Ajouter/Supprimer les sites à surveiller
Kassbot-E prend le soin de modifier le contenu du fichier HOSTS pour rediriger plusieurs domaines vers apple.com. Kassbot-E redirige l'accès aux serveurs suivants :
d-ru-1f.kaspersky-labs.com
d-ru-1h.kaspersky-labs.com
d-ru-2f.kaspersky-labs.com
d-ru-2h.kaspersky-labs.com
d-eu-2f.kaspersky-labs.com
d-eu-2h.kaspersky-labs.com
d-eu-1f.kaspersky-labs.com
d-eu-1h.kaspersky-labs.com
d-us-1f.kaspersky-labs.com
d-us-1h.kaspersky-labs.com
downloads1.kaspersky.ru
downloads2.kaspersky.ru
downloads3.kaspersky.ru
downloads4.kaspersky.ru
downloads5.kaspersky.ru
www.kaspersky.ru
kaspersky.ru
kaspersky-labs.com
www.kaspersky-labs.com
Taille: 223232 Octet(s)
Détails techniques:
Quand il est exécuté, Kassbot-E se copie sous le nom "%System%\spools.exe" et modifie le registre afin d'être lancé à chaque démarrage de Windows :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Spools Service Controller = "%System%\spools.exe"
Le ver dépose aussi un fichier texte inoffensif : xbccd.log.
N.B. : Kassbot-E détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Pour se répandre, Kassbot-E tire profit d'une faille sur les systèmes Windows. Pour plus d'informations sur cette vulnérabilité, veuillez consulter le site http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx.
Kassbot-E est utilisé afin de voler des informations sensibles (identifiant, mot de passe, etc...).
Le ver attend que l'utilisateur visite des sites particuliers (généralement des sites de banques en ligne et des sites de vente en ligne).
Le ver surveille :
- Les urls entrées dans la barre d'adresse d'Internet Explorer
- Les titres des fenêtres des pages visitées
- Les formulaires d'identification auprès des banques
- Les formulaires de transactions financières
Il enregistre toutes ces données dans le fichier ""%System%\xiecache.ssq", puis il les rend accessiblent sur un site Américain. Il détruiera le fichier par la suite.
Kassbot-E permet aussi à un attaquant d'obtenir un accès non autorisé sur l'ordinateur infecté. Le ver se connecte sur un serveur IRC bien particulieur et attend des commandes sur un canal IRC. De ce fait, l'attaquant peut :
- Lancer un serveur proxy SOCKS
- Organiser des attaques de type DDoS (déni de service distribué)
- Flooder des urls
- Télécharger et exécuter des fichiers
- Lister les process actifs
- Terminer des process
- Supprimer des fichiers
- Redémarrer le système
- Rediriger les sites visités par l'utilisateur
- Ajouter/Supprimer les sites à surveiller
Kassbot-E prend le soin de modifier le contenu du fichier HOSTS pour rediriger plusieurs domaines vers apple.com. Kassbot-E redirige l'accès aux serveurs suivants :
d-ru-1f.kaspersky-labs.com
d-ru-1h.kaspersky-labs.com
d-ru-2f.kaspersky-labs.com
d-ru-2h.kaspersky-labs.com
d-eu-2f.kaspersky-labs.com
d-eu-2h.kaspersky-labs.com
d-eu-1f.kaspersky-labs.com
d-eu-1h.kaspersky-labs.com
d-us-1f.kaspersky-labs.com
d-us-1h.kaspersky-labs.com
downloads1.kaspersky.ru
downloads2.kaspersky.ru
downloads3.kaspersky.ru
downloads4.kaspersky.ru
downloads5.kaspersky.ru
www.kaspersky.ru
kaspersky.ru
kaspersky-labs.com
www.kaspersky-labs.com
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
