Worm.Win32_Starimp-A
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 20049 Octet(s)
Détails techniques:
Quand il est exécuté, Starimp-A dépose un composant DLL (Dynamic Link Library) et un pilote dans le répertoire %System% :
mcfCC4.dll
mcfdrv.sys
N.B. : Starimp-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Le ver place ensuite ces entrées de registre afin que la DLL soit chargée à chaque démarrage de Windows :
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4\DllName = mcfCC4.dll
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4\Startup = mcfCC4
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4\Impersonate = 1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4\Asynchronous = 1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4\MaxWait = 1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4\Key4 = {valeur aléatoire}{nom d'utilisateur}
Sur les systèmes Windows 9x, le ver met ces entrées à la place :
HKLM\System\CurrentControlSet\Control\MPRServices\TestService\DllName = "mcfCC4.dll"
HKLM\System\CurrentControlSet\Control\MPRServices\TestService\EntryPoint = "mcfCC4"
HKLM\System\CurrentControlSet\Control\MPRServices\TestService\StackSize = 0x0
HKLM\System\CurrentControlSet\Control\MPRServices\TestService\key4 = "{valeur aléatoire}{nom d'utilisateur}"
Starimp-A injecte aussi la DLL dans le processus "explorer.exe" afin que son activité soit invisible par l'utilisateur. Il définit le pilote mcfdrv.sys en tant que service qui est chargé à chaque démarrage de Windows :
Nom du service : mcfdrv
Nom affiché : MCFservice
Chemin : %System%\mcfdrv.sys
Type de démarrage : Service_System_Start
Ce pilote et cette DLL sont utilisés par le ver pour surveiller le traffic Internet du système infecté.
Pour se propager, Starimp-A se sert des réseaux peer to peer de Kazaa et iMesh en créant le dossier "System%\User Local Files" et en se copiant dans ce dossier sous ces différents noms :
NAV2005_Keygen!.exe
NAV_updates__05.exe
XXX_teens_16-18.exe
WindowsXP boost.exe
photoshop__2005.exe
anal_sex_photos.exe
TheBat!7.51.256.exe
NortonAntiVirus.exe
DrWEB_Key092007.exe
LAN_hacker_ver2.exe
NeT_KILLER_3.84.exe
julia_XXX_video.exe
Kaspersky_KEY08.exe
HACKER'S View 2.exe
Mozilla_1.9.927.exe
ProfessionalICQ.exe
Starimp-A inclue ensuite ce dossier dans ceux qui sont partagés par Kazaa et iMesh :
HKCU\Software\Kazaa\LocalContent\dir0 = "12345:%System%\User Local Files"
HKCU\Software\Kazaa\LocalContent\DlDir0 = "%System%\User Local Files"
HKCU\Software\Kazaa\LocalContent\DisableSharing = 0
HKCU\Software\Kazaa\Transfer\dir0 = "12345:%System%\User Local Files"
HKCU\Software\Kazaa\Transfer\DlDir0 = "%System%\User Local Files"
HKCU\Software\iMesh\Client\LocalContent\dir0 = "012345:%System%\User Local Files"
HKCU\Software\iMesh\Client\LocalContent\DlDir0 = "%System%\User Local Files"
Starimp-A vole les informations confidentielle présentes sur la machine infectée, telles que les noms d'utilisateur, les mots de passe, des comptes e-mails découverts. Il surveille aussi les requêtes HTTP vers le site www.e-gold.com.
Ces informations ainsi récoltées seront accessibles sur un site choisi par l'auteur du ver.
Le ver peut télécharger un fichier d'un site spécifique et l'enregistré sous le nom ""%System%\00mstmp.exe".
Il peut également ouvrir une porte dérobée, permettant un accès non autorisé à distance sur le système infecté.
Taille: 20049 Octet(s)
Détails techniques:
Quand il est exécuté, Starimp-A dépose un composant DLL (Dynamic Link Library) et un pilote dans le répertoire %System% :
mcfCC4.dll
mcfdrv.sys
N.B. : Starimp-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Le ver place ensuite ces entrées de registre afin que la DLL soit chargée à chaque démarrage de Windows :
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4\DllName = mcfCC4.dll
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4\Startup = mcfCC4
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4\Impersonate = 1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4\Asynchronous = 1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4\MaxWait = 1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4\Key4 = {valeur aléatoire}{nom d'utilisateur}
Sur les systèmes Windows 9x, le ver met ces entrées à la place :
HKLM\System\CurrentControlSet\Control\MPRServices\TestService\DllName = "mcfCC4.dll"
HKLM\System\CurrentControlSet\Control\MPRServices\TestService\EntryPoint = "mcfCC4"
HKLM\System\CurrentControlSet\Control\MPRServices\TestService\StackSize = 0x0
HKLM\System\CurrentControlSet\Control\MPRServices\TestService\key4 = "{valeur aléatoire}{nom d'utilisateur}"
Starimp-A injecte aussi la DLL dans le processus "explorer.exe" afin que son activité soit invisible par l'utilisateur. Il définit le pilote mcfdrv.sys en tant que service qui est chargé à chaque démarrage de Windows :
Nom du service : mcfdrv
Nom affiché : MCFservice
Chemin : %System%\mcfdrv.sys
Type de démarrage : Service_System_Start
Ce pilote et cette DLL sont utilisés par le ver pour surveiller le traffic Internet du système infecté.
Pour se propager, Starimp-A se sert des réseaux peer to peer de Kazaa et iMesh en créant le dossier "System%\User Local Files" et en se copiant dans ce dossier sous ces différents noms :
NAV2005_Keygen!.exe
NAV_updates__05.exe
XXX_teens_16-18.exe
WindowsXP boost.exe
photoshop__2005.exe
anal_sex_photos.exe
TheBat!7.51.256.exe
NortonAntiVirus.exe
DrWEB_Key092007.exe
LAN_hacker_ver2.exe
NeT_KILLER_3.84.exe
julia_XXX_video.exe
Kaspersky_KEY08.exe
HACKER'S View 2.exe
Mozilla_1.9.927.exe
ProfessionalICQ.exe
Starimp-A inclue ensuite ce dossier dans ceux qui sont partagés par Kazaa et iMesh :
HKCU\Software\Kazaa\LocalContent\dir0 = "12345:%System%\User Local Files"
HKCU\Software\Kazaa\LocalContent\DlDir0 = "%System%\User Local Files"
HKCU\Software\Kazaa\LocalContent\DisableSharing = 0
HKCU\Software\Kazaa\Transfer\dir0 = "12345:%System%\User Local Files"
HKCU\Software\Kazaa\Transfer\DlDir0 = "%System%\User Local Files"
HKCU\Software\iMesh\Client\LocalContent\dir0 = "012345:%System%\User Local Files"
HKCU\Software\iMesh\Client\LocalContent\DlDir0 = "%System%\User Local Files"
Starimp-A vole les informations confidentielle présentes sur la machine infectée, telles que les noms d'utilisateur, les mots de passe, des comptes e-mails découverts. Il surveille aussi les requêtes HTTP vers le site www.e-gold.com.
Ces informations ainsi récoltées seront accessibles sur un site choisi par l'auteur du ver.
Le ver peut télécharger un fichier d'un site spécifique et l'enregistré sous le nom ""%System%\00mstmp.exe".
Il peut également ouvrir une porte dérobée, permettant un accès non autorisé à distance sur le système infecté.
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
