Worm.Win32_Starimp-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 20049 Octet(s)

Détails techniques:

Quand il est exécuté, Starimp-A dépose un composant DLL (Dynamic Link Library) et un pilote dans le répertoire %System% :

mcfCC4.dll
mcfdrv.sys


N.B. : Starimp-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Le ver place ensuite ces entrées de registre afin que la DLL soit chargée à chaque démarrage de Windows :

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4\DllName = mcfCC4.dll
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4\Startup = mcfCC4
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4\Impersonate = 1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4\Asynchronous = 1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4\MaxWait = 1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4\Key4 =
{valeur aléatoire}{nom d'utilisateur}

Sur les systèmes Windows 9x, le ver met ces entrées à la place :

HKLM\System\CurrentControlSet\Control\MPRServices\TestService\DllName = "mcfCC4.dll"
HKLM\System\CurrentControlSet\Control\MPRServices\TestService\EntryPoint = "mcfCC4"
HKLM\System\CurrentControlSet\Control\MPRServices\TestService\StackSize = 0x0
HKLM\System\CurrentControlSet\Control\MPRServices\TestService\key4 = "
{valeur aléatoire}{nom d'utilisateur}"

Starimp-A injecte aussi la DLL dans le processus "explorer.exe" afin que son activité soit invisible par l'utilisateur. Il définit le pilote mcfdrv.sys en tant que service qui est chargé à chaque démarrage de Windows :

Nom du service : mcfdrv
Nom affiché : MCFservice
Chemin : %System%\mcfdrv.sys
Type de démarrage : Service_System_Start

Ce pilote et cette DLL sont utilisés par le ver pour surveiller le traffic Internet du système infecté.


Pour se propager, Starimp-A se sert des réseaux peer to peer de Kazaa et iMesh en créant le dossier "System%\User Local Files" et en se copiant dans ce dossier sous ces différents noms :

NAV2005_Keygen!.exe
NAV_updates__05.exe
XXX_teens_16-18.exe
WindowsXP boost.exe
photoshop__2005.exe
anal_sex_photos.exe
TheBat!7.51.256.exe
NortonAntiVirus.exe
DrWEB_Key092007.exe
LAN_hacker_ver2.exe
NeT_KILLER_3.84.exe
julia_XXX_video.exe
Kaspersky_KEY08.exe
HACKER'S View 2.exe
Mozilla_1.9.927.exe
ProfessionalICQ.exe


Starimp-A inclue ensuite ce dossier dans ceux qui sont partagés par Kazaa et iMesh :

HKCU\Software\Kazaa\LocalContent\dir0 = "12345:%System%\User Local Files"
HKCU\Software\Kazaa\LocalContent\DlDir0 = "%System%\User Local Files"
HKCU\Software\Kazaa\LocalContent\DisableSharing = 0
HKCU\Software\Kazaa\Transfer\dir0 = "12345:%System%\User Local Files"
HKCU\Software\Kazaa\Transfer\DlDir0 = "%System%\User Local Files"
HKCU\Software\iMesh\Client\LocalContent\dir0 = "012345:%System%\User Local Files"
HKCU\Software\iMesh\Client\LocalContent\DlDir0 = "%System%\User Local Files"


Starimp-A vole les informations confidentielle présentes sur la machine infectée, telles que les noms d'utilisateur, les mots de passe, des comptes e-mails découverts. Il surveille aussi les requêtes HTTP vers le site www.e-gold.com.
Ces informations ainsi récoltées seront accessibles sur un site choisi par l'auteur du ver.

Le ver peut télécharger un fichier d'un site spécifique et l'enregistré sous le nom ""%System%\00mstmp.exe".

Il peut également ouvrir une porte dérobée, permettant un accès non autorisé à distance sur le système infecté.




http://www.lesdepeches.com/