Troj_DlVeeb-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 11213 Octet(s)

Détails techniques:

Une description de l'e-mail, envoyé par DlVeeb-A, est disponible en capture d'écran.

Quand sa pièce-jointe est exécutée, DlVeeb-A se copie sous le nom %System%\ipwf.exe et modifie le registre afin d'être lancé à chaque démarrage de Windows :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\IPFW = "%System%\ipwf.exe"

N.B. : DlVeeb-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Le cheval de Troie crée également un mutex nommé "ernvlkernve9235923 veeb;d" pour empêcher l'exécution simultanée de plusieurs versions du trojan sur la machine infectée.

DlVeeb-A dispose d'une liste d'url codée en "dur" dans le programme d'où il peut télécharger un fichier de configuration crypté. Cette liste est sauvegardée sous le nom %System%\driver\winut.dat.
Les domaines suivants peuvent contenir le fichier de configuration :

arcticstudios.co.uk
blazingweb.co.uk
ecoline-spb.ru
dmitrovka.com
bestmega.net
www.keramzit-isr.saminfo.ru
vigos.ru
www.diverseinteriors.co.uk
www.bsatrans.com
pcdr.ch
vomfunkewald.de
www.iars.org.uk
www.goldticks.com
www.gardnersworld.co.uk
www.eq2-aequitas.com
vigos.ru


Ce fichier de configuration contient des adresses depuis lesquelles il peut télécharger et exécuter des fichiers. DlVeeb-A sauvegarde ces fichiers dans le dossier %System% avec l'extension" .exe". Ces fichiers sont ensuites exécutés. Pour le moment, DlVeeb-A télécharge un autre ver, Starimp-A qui se répand par les réseaux peer to peer.


DlVeeb-A termine les processus suivants :

amon.exe
ccapp.exe
firewall.exe
kpf4ss.exe
kpf4gui.exe
MpfService.exe
NPROTECT.exe
tpfw.exe
armor2net.exe
zonealarm.exe
ZAPRO.exe


Sur les systèmes XP, le cheval de Troie s'ajoute lui-même aux règles de sécurité du pare-feu ICF (Internet Connection Firewall) en ajoutant cette entrée de registre :

HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%System%\ipwf.exe = "%System%\ipwf.exe:*:Enabled:ipwf


DlVeeb-A utilise la clé de registre suivante pour stocker des informations :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsShell

Capture(s) d'écran:

DlVeeb-A



http://www.smtechnologie.com