Worm.Win32_Wurmark-P

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 45133 Octet(s)

Détails techniques:

A son exécution, Wurmark-P se copie dans le dossier %System% sous un nom aléatoire. Afin d'être lancé à chaque démarrage, il ajoute l'entrée de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
{nom_du_fichier} = "{nom_du_fichier}.exe"

N.B. : Wurmark-P détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Wurmark-P utilise son propre moteur SMTP pour se répandre par e-mail.

Wurmark-P collecte les adresses mails des fichiers, du dossier "Tempory Internet Files", ayant les extensions :

.asp
.dbx
.eml
.htm
.mbx
.sht
.tbb


Voici les caractéristiques du message envoyé :

Objet

L'un d'eux :

details
girls
image
message
music
photo
radio
readme
resume
screensaver
video


Corps du message

{vierge}

Pièce-jointe

details.zip
girls.zip
image.zip
message.zip
music.zip
photo.zip
radio.zip
readme.zip
resume.zip
screensaver.zip
video.zip


La fichier contenu dans l'archive ZIP peut contenir l'un des fichiers suivants :

details.doc{beaucoup d'espaces}.scr
girls.jpg
{beaucoup d'espaces}.scr
image.jpg
{beaucoup d'espaces}.scr
love.jpg
{beaucoup d'espaces}.scr
message.txt
{beaucoup d'espaces}.scr
music.mp3
{beaucoup d'espaces}.scr
news.doc
{beaucoup d'espaces}.scr
photo.jpg
{beaucoup d'espaces}.scr
pic.jpg
{beaucoup d'espaces}.scr
readme.txt
{beaucoup d'espaces}.scr
resume.doc
{beaucoup d'espaces}.scr
screensaver
{beaucoup d'espaces}.scr
song.wav
{beaucoup d'espaces}.scr
video.avi
{beaucoup d'espaces}.scr

Une fois que l'un de ces fichiers est exécuté, le ver peut commencer sa routine de propagation par e-mail.
Il évite tout de même d'envoyer son message aux adresses contenant les mots suivants :

abuse
admin
hostmaster
localdomain
localhost
mcafee
messagelab
microsoft
noreply
postmaster
recipients
report
root
spam
symantec
trendmicro
webmaster


Sur le système infecté, Wurmark-P enregistre les touches tappées au clavier dans un fichier .dll au nom aléatoire dans le dossier %System%.

Il enregistre aussi :

- Des informations sur le lecteur
- Des informations sur le système d'exploitation
- Nom d'utilisateur et mot de passe de l'utilisateur en cours de session

Le ver envoie ensuite les données récoltées sur le site www.melan{censuré}rroll.biz/n2.php




http://www.liens-utiles.org/