Worm.Win32_Wurmark-S

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 206336 Octet(s)

Détails techniques:

A son exécution, Wurmark-S se copie dans le dossier %System% sous le nom lsess.exe.
Le ver dépose 2 fichiers dans le répertoire %System% :

zlib.dll - un composant DLL (Dynamic Link Library) utilisé pour la compression et la décompression des fichiers
ansmtp.dll - un moteur SMTP utilisé pour la propagation du ver

Afin d'être lancé à chaque démarrage, il ajoute les entrées de registre suivantes :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsess = "%System%\lsess.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
lsess = "%System%\lsess.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
lsess = "%System%\lsess.exe"


N.B. : Wurmark-S détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Wurmark-S utilise son propre moteur SMTP pour se répandre par e-mail.

Voici les caractéristiques du message envoyé :

Objet

L'un d'eux :

Administration
approved
Bad Request
corrected
Delivery Protection
Delivery Server
Encripted Mail
Error
Extended Mail
Extended Mail System
Failure
hello
important
improved
Mail Authentification
Mail Server
Notify
patched
Protected Mail Delivery
Protected Mail Request
Protected Mail System
read it immediately
Secure delivery
Secure SMTP Message
SMTP Server
Status
Thank you for delivery
Thanks!


Corps du message

Une combinaison de ces différents message :

- +++ Attachment: No Virus found
- +++ Bitdefender AntiVirus - www.bitdefender.com
- +++ Kaspersky AntiVirus - www.kaspersky.com
- +++ MC-Afee AntiVirus - www.mcafee.com
- +++ MessageLabs AntiVirus - www.messagelabs.com
- +++ Panda AntiVirus - www.pandasoftware.com
- ++++ F-Secure AntiVirus - www.f-secure.com
- ++++ Norman AntiVirus - www.norman.com
- ++++ Norton AntiVirus - www.symantec.de
- Authentication required.
- Bad Gateway: The message has been attached.
- Delivered message is attached.
- Encrypted message is available.
- ESMTP [Secure Mail System #334]: Secure message is attached.
- First part of the secure mail is available.
- Follow the instructions t read the message.
- For further details see the attachment.
- For more details see the attachment.
- Forwarded message is available.
- I have attached your document.
- I have received your document. The corrected document is attached.
- New message is available.
- Now a new message is available.
- Partial message is available. Waiting for a Response. Please read the attachment.
- Please authenticate the secure message.
- Please confirm my request.
- Please confirm the document.
- Please read the attached file!
- Please read the attached file!
- Please read the attachment t get the message.
- Please read the document.
- Please read the important document.
- Please see the attached file for details.
- Protected Mail System Test.
- Protected message is attached.
- Protected message is available.
- Requested file.
- Secure Mail System Beta Test.
- See the file.
- SMTP: Please confirm the attached message.
- Waiting for authentification.
- You got a new message.
- You have received an extended message. Please read the instructions.
- Your details.
- Your document is attached t this mail.
- Your document is attached.
- Your document.
- Your file is attached.
- Your requested mail has been attached.

Pièce-jointe

Son nom peut être l'un d'eux :

data.zip
details.zip
document.zip
message.zip
msg.zip
readme.zip


Ce fichier ZIP contient l'un des fichiers suivants :

Data.txt{beaucoup d'espaces}.exe
Delails.doc
{beaucoup d'espaces}.exe
Document.txt
{beaucoup d'espaces}.exe
Readme.txt
{beaucoup d'espaces}.exe

Wurmark-S recherche des adresses électroniques dans les fichiers ayant les extensions suivantes :

cfg
cgi
dbx
dhtm
doc
eml
htm
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
ppt
rtf
sht
shtm
stm
tbb
txt
uin
vbs
wab
wsh
xls
xml


Cependant, il évite d'envoyer des messages aux adresses contenant les mots suivants :

@antivir
@f-pro
@freeav
@f-secur
@kaspersky
@mcafee
@messagel
@microsof
@norman
@norton
@pandasof
@skynet
@sophos
@spam
@symatec
@viruslist
abuse@
noreply@
ntivir
reports@
spam@


Wurmark-S se répand aussi grâce au réseau de peer-to-peer. Il dépose une copie du ver dans tous les dossiers dont le nom contient les chaînes de caractères suivantes :

compart
download
incoming
share
shared


Les dossiers tels que Shared Folder ou My Downloads sont souvent associés aux logiciels de peer-to-peer tels que Limewire ou bien encore KaZaA.

Le ver se copie dans ces dossiers sous les noms :

Credit Card.zip
Edonkey 1.1.zip
Emoticons MSN.zip
Hotmail Passwords HOWTO.me.zip
Norton Antivirus.zip
Overnet Full.zip
Windows Commander.zip
Windows XP Activate.zip
Winzip Cracked.zip


Wurmark-S tente de terminer des process relatifs à des programmes d'antivirus et de sécurité :

_avp32.exe
_avpcc.exe
_avpm.exe
ackwin32.exe
ADVXDWIN
alertsvc.exe
ALOGSERV
amon.exe
AMON9X
anti-trojan.exe
antivir
apvxdwin.exe
ATCON
ATUPDATER
ATWATCH
autodown.exe
AutoTrace
avconsol.exe
ave32.exe
AVGCC32
avgctrl.exe
AvgServ
AVGSERV9
avkpop
AvkServ
avkserv.exe
avkservice
avkwctl9
Avnt.exe
avp.exe
avp32.exe
avpcc.exe
avpdos32.exe
avpm.exe
avpmon.exe
avpnt.exe
avptc32.exe
avpupd.exe
Avrep32.exe
avsched32.exe
avsynmgr.exe
avwin95.exe
AVWINNT
avwupd32.exe
AVXMONITOR9X
AVXMONITORNT
AVXQUAR
blackd.exe
blackice.exe
BullGuard
CCAPP.EXE
cfgWiz
cfiadmin.exe
cfiaudit.exe
cfind.exe
cfinet.exe
cfinet32.exe
claw95.exe
Claw95cf.exe
claw95ct.exe
cleaner.exe
cleaner3.exe
clrav.com
CMGRDIAN
CONNECTIONMONITOR
CPDClnt
defalert
defscangui
DEFWATCH
DOORS
dv95.exe
dv95_o.exe
dvp95.exe
Dvp95_0.exe
ecengine.exe
EFINET32.EXE
EFPEADM
esafe.exe
espwatch.exe
ETRUSTCIPE
EXPERT
f-agnt95.exe
f-prot.exe
f-prot95.exe
f-stopw.exe
fameh32
fch32
fih32
filemon.exe
findviru.exe
fnrb32
fp-win.exe
fprot.exe
FPROT95.EXE
frw.exe
fsav32
fsgk32
fsm32
fsma32
fsmb32
gbmenu
GBPOLL
GENERICS
GUARD
iamapp.exe
iamserv.exe
IAMSTATS
IBMASN.EXE
ibmavsp.exe
icload95.exe
icloadnt.exe
icmon.exe
icmoon.exe
icssuppnt.exe
icsupp95.exe
Icsuppnt.exe
iface.exe
iomon98.exe
ISRV95
jed.exe
Jedi.exe
kpf.exe
KPFW32.EXE
LDPROMENU
LDSCAN
lockdown2000.exe
lockdownadvanced.exe
lookout.exe
luall.exe
lucomserver.exe
LUSPT
mcafee
MCAGENT
MCMNHDLR
MCTOOL
MCUPDATE
MCVSRTE
MCVSSHLD
MGHTML
MINILOG
Monitor.exe
moolive.exe
MPFSERVICE
mpftray.exe
msconfig.exe
MWATCH
n32scan.exe
N32scanw.exe
navapsvc.exe
navapw32.exe
NAVENGNAVEX15
navlu32.exe
navnt.exe
navrunr.exe
navsched.exe
navw.exe
navw32.exe
navwnt.exe
ndd32
NeoWatchLog
netutils
nisserv.exe
nisum.exe
nmain.exe
normist.exe
notstart.exe
npscheck
npssvc
nsched32.exe
Nspclean.exe
ntrtscan
NTVDM
NTXconfig
nupgrade.exe
nvc95.exe
NVSVC32
NWService
NWTOOL16
offguard.exe
outpost.exe
PADMIN
padmin.exe
pav.exe
pavcl.exe
pavmail.exe
pavproxy
Pavsched.exe
Pavw.exe
pcciomon.exe
pccmain.exe
pccwin97
pccwin98.exe
pcfwallicon.exe
pcntmon
pcscan
per.exe
perd.exe
persfw.exe
pertsk.exe
perupd.exe
pervac.exe
pervacd.exe
POP3TRAP
POPROXY
PORTMONITOR
pqremove.com
PROCESSMONITOR
procexp
PROGRAMAUDITOR
pview95
pview95.exe
rapapp.exe
rav7.exe
rav7win.exe
REALMON
regedit.exe
regedt32.exe
regmon.exe
rescue.exe
RTVSCN95
RULAUNCH
safeweb.exe
sbserv
scan32.exe
scan95.exe
scanpm.exe
scrscan.exe
serv95.exe
sfc.exe
smc.exe
sphinx.exe
SPYXX
SS3EDIT
sweep95.exe
SweepNet
SWNETSUP
SymProxySvc
SYMTRAY
taskmgr
TAUMON
tbscan.exe
tca.exe
TDS-3
tds2-98.exe
tds2-nt.exe
th.exe
th32.exe
th32upd.exe
thav.exe
thd.exe
thd32.exe
thmail.exe
vbcmserv
VbCons
VCONTROL.EXE
VET32.EXE
vet95.exe
vet98.exe
vettray.exe
VPC32
Vscan40.exe
vsecomr.exe
vshwin32.exe
VSMAIN
vsmon
vsscan40.exe
vsstat.exe
WATCHDOG
webscan.exe
webscanx.exe
WEBTRAP
wfindv32.exe
WGFE95
WIMMUN32
WrAdmin
WrCtrl
ZAP.EXE
ZAPD.EXE
ZAPPRG.EXE
zapro.exe
ZAPS.EXE
ZCAP.EXE
zonealarm.exe





http://www.aideinfo.com/