Worm.Win32_Wurmark-P
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 45133 Octet(s)
Détails techniques:
A son exécution, Wurmark-P se copie dans le dossier %System% sous un nom aléatoire. Afin d'être lancé à chaque démarrage, il ajoute l'entrée de registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
{nom_du_fichier} = "{nom_du_fichier}.exe"
N.B. : Wurmark-P détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Wurmark-P utilise son propre moteur SMTP pour se répandre par e-mail.
Wurmark-P collecte les adresses mails des fichiers, du dossier "Tempory Internet Files", ayant les extensions :
.asp
.dbx
.eml
.htm
.mbx
.sht
.tbb
Voici les caractéristiques du message envoyé :
Objet
L'un d'eux :
details
girls
image
message
music
photo
radio
readme
resume
screensaver
video
Corps du message
{vierge}
Pièce-jointe
details.zip
girls.zip
image.zip
message.zip
music.zip
photo.zip
radio.zip
readme.zip
resume.zip
screensaver.zip
video.zip
La fichier contenu dans l'archive ZIP peut contenir l'un des fichiers suivants :
details.doc{beaucoup d'espaces}.scr
girls.jpg{beaucoup d'espaces}.scr
image.jpg{beaucoup d'espaces}.scr
love.jpg{beaucoup d'espaces}.scr
message.txt{beaucoup d'espaces}.scr
music.mp3{beaucoup d'espaces}.scr
news.doc{beaucoup d'espaces}.scr
photo.jpg{beaucoup d'espaces}.scr
pic.jpg{beaucoup d'espaces}.scr
readme.txt{beaucoup d'espaces}.scr
resume.doc{beaucoup d'espaces}.scr
screensaver{beaucoup d'espaces}.scr
song.wav{beaucoup d'espaces}.scr
video.avi{beaucoup d'espaces}.scr
Une fois que l'un de ces fichiers est exécuté, le ver peut commencer sa routine de propagation par e-mail.
Il évite tout de même d'envoyer son message aux adresses contenant les mots suivants :
abuse
admin
hostmaster
localdomain
localhost
mcafee
messagelab
microsoft
noreply
postmaster
recipients
report
root
spam
symantec
trendmicro
webmaster
Sur le système infecté, Wurmark-P enregistre les touches tappées au clavier dans un fichier .dll au nom aléatoire dans le dossier %System%.
Il enregistre aussi :
- Des informations sur le lecteur
- Des informations sur le système d'exploitation
- Nom d'utilisateur et mot de passe de l'utilisateur en cours de session
Le ver envoie ensuite les données récoltées sur le site www.melan{censuré}rroll.biz/n2.php
Taille: 45133 Octet(s)
Détails techniques:
A son exécution, Wurmark-P se copie dans le dossier %System% sous un nom aléatoire. Afin d'être lancé à chaque démarrage, il ajoute l'entrée de registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
{nom_du_fichier} = "{nom_du_fichier}.exe"
N.B. : Wurmark-P détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Wurmark-P utilise son propre moteur SMTP pour se répandre par e-mail.
Wurmark-P collecte les adresses mails des fichiers, du dossier "Tempory Internet Files", ayant les extensions :
.asp
.dbx
.eml
.htm
.mbx
.sht
.tbb
Voici les caractéristiques du message envoyé :
Objet
L'un d'eux :
details
girls
image
message
music
photo
radio
readme
resume
screensaver
video
Corps du message
{vierge}
Pièce-jointe
details.zip
girls.zip
image.zip
message.zip
music.zip
photo.zip
radio.zip
readme.zip
resume.zip
screensaver.zip
video.zip
La fichier contenu dans l'archive ZIP peut contenir l'un des fichiers suivants :
details.doc{beaucoup d'espaces}.scr
girls.jpg{beaucoup d'espaces}.scr
image.jpg{beaucoup d'espaces}.scr
love.jpg{beaucoup d'espaces}.scr
message.txt{beaucoup d'espaces}.scr
music.mp3{beaucoup d'espaces}.scr
news.doc{beaucoup d'espaces}.scr
photo.jpg{beaucoup d'espaces}.scr
pic.jpg{beaucoup d'espaces}.scr
readme.txt{beaucoup d'espaces}.scr
resume.doc{beaucoup d'espaces}.scr
screensaver{beaucoup d'espaces}.scr
song.wav{beaucoup d'espaces}.scr
video.avi{beaucoup d'espaces}.scr
Une fois que l'un de ces fichiers est exécuté, le ver peut commencer sa routine de propagation par e-mail.
Il évite tout de même d'envoyer son message aux adresses contenant les mots suivants :
abuse
admin
hostmaster
localdomain
localhost
mcafee
messagelab
microsoft
noreply
postmaster
recipients
report
root
spam
symantec
trendmicro
webmaster
Sur le système infecté, Wurmark-P enregistre les touches tappées au clavier dans un fichier .dll au nom aléatoire dans le dossier %System%.
Il enregistre aussi :
- Des informations sur le lecteur
- Des informations sur le système d'exploitation
- Nom d'utilisateur et mot de passe de l'utilisateur en cours de session
Le ver envoie ensuite les données récoltées sur le site www.melan{censuré}rroll.biz/n2.php
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
