Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 122880 Octet(s)
Détails techniques:
A son exécution, Wurmark-O se copie dans le dossier %System% sous un nom aléatoire. Afin d'être lancé à chaque démarrage, il ajoute l'entrée de registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
{nom_du_fichier} = "{nom_du_fichier}.exe"
N.B. : Wurmark-O détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Wurmark-O utilise son propre moteur SMTP pour se répandre par e-mail.
Voici les caractéristiques du message envoyé :
Objet
L'un d'eux :
details
girls
image
love
message
music
news
photo
pic
readme
resume
screensaver
song
video
Pièce-jointe
Son nom peut être l'un d'eux :
details.zip
girls.zip
image.zip
love.zip
message.zip
music.zip
news.zip
photo.zip
pic.zip
readme.zip
resume.zip
screensaver.zip
song.zip
video.zip
Le fichier ZIP peut contenir l'un des fichiers suivants :
details.doc{beaucoup d'espaces}.scr
girls.jpg{beaucoup d'espaces}.scr
image.jpg{beaucoup d'espaces}.scr
love.jpg{beaucoup d'espaces}.scr
message.txt{beaucoup d'espaces}.scr
music.mp3{beaucoup d'espaces}.scr
news.doc{beaucoup d'espaces}.scr
photo.jpg{beaucoup d'espaces}.scr
pic.jpg{beaucoup d'espaces}.scr
readme.txt{beaucoup d'espaces}.scr
resume.doc{beaucoup d'espaces}.scr
screensaver{beaucoup d'espaces}.scr
song.wav{beaucoup d'espaces}.scr
video.avi{beaucoup d'espaces}.scr
Ces fichiers exécutent le ver sur la machine ciblée.
Wurmark-O collecte les adresses mails des fichiers, du dossier "Tempory Internet Files", ayant les extensions :
.asp
.dbx
.eml
.htm
.mbx
.sht
.tbb
Wurmark-O évite d'envoyer le message aux adresses contenant les mots suivants :
abuse
admin
alert
localdomain
mcafee
messagelab
noreply
pandasoft
postmaster
recipients
report
root
sophos
spam
symantec
trendmicro
virus
webmaster
Wurmark-O utilise un composant DLL (Dynamic Link Library) au nom aléatoire dans le dossier %System% pour stocker les touches tappées au clavier par l'utilisateur.
Wurmark-O stocke aussi les données suivantes :
- Des informations sur le lecteur
- Des informations sur le système d'exploitation
- Nom d'utilisateur et mot de passe de l'utilisateur en cours de session
Le ver envoie ensuite les données récoltées sur le site www.melan{censuré}rroll.biz/n2.php.