Email-Worm.Win32.BadtransII

Classe pour les parents: VirWare

Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.

Classe: Email-Worm

Email-Worms propagation par e-mail. Le ver envoie une copie de lui-même en pièce jointe à un message électronique ou un lien vers son fichier sur une ressource réseau (par exemple, une URL vers un fichier infecté sur un site Web compromis ou un site Web appartenant à un pirate). Dans le premier cas, le code du ver est activé lorsque la pièce jointe infectée est ouverte (lancée). Dans le second cas, le code est activé lorsque le lien vers le fichier infecté est ouvert. Dans les deux cas, le résultat est le même: le code du ver est activé. Email-Worms utilise une gamme de méthodes pour envoyer des emails infectés. Les plus courantes sont: l'utilisation d'une connexion directe à un serveur SMTP à l'aide du répertoire de messagerie intégré dans le code du ver en utilisant les services MS Outlook à l'aide des fonctions Windows MAPI. Email-Worms utilisent un certain nombre de sources différentes pour trouver les adresses email auxquelles les emails infectés seront envoyés: le carnet d'adresses dans MS Outlook une base de données d'adresses WAB .txt fichiers stockés sur le disque dur: le ver peut identifier les chaînes dans les fichiers texte Les e-mails adressent des e-mails dans la boîte de réception (certains e-mails peuvent même répondre aux e-mails trouvés dans la boîte de réception) De nombreux vers de messagerie utilisent plus d'une des sources répertoriées ci-dessus. Il existe également d'autres sources d'adresses électroniques, telles que les carnets d'adresses associés aux services de messagerie Web.

Plus d'informations

Plateforme: Win32

Win32 est une API sur les systèmes d'exploitation Windows NT (Windows XP, Windows 7, etc.) qui prend en charge l'exécution des applications 32 bits. L'une des plateformes de programmation les plus répandues au monde.

Description

Détails techniques

C'est un ver qui se propage sous les systèmes Win32. Le virus envoie des messages électroniques avec des fichiers infectés joints, et installe un composant de Troie d'espionnage pour dérober des informations des systèmes infectés. Le ver a été découvert à l'état sauvage en novembre 2001.

Le ver lui-même est un fichier exécutable Win32 (fichier PE EXE). Il a été trouvé dans la nature sous forme comprimée et mesure environ 29Kb. Après avoir été décompressé, la taille du fichier de ver devient d'environ 60Kb.

Le ver se compose de deux composants principaux, le ver et le cheval de Troie. Le composant «Worm» envoie des messages infectés et le composant «Trojan» envoie des informations (informations de l'utilisateur, données RAS, mots de passe mis en cache, journal du clavier) des ordinateurs infectés à une adresse de messagerie spécifiée. Il garde également un corps de programme "keylogger" dans son code, et l'installe dans le système tout en infectant une nouvelle machine.

Infecter le système

Lorsqu'un fichier infecté est exécuté (lorsqu'un utilisateur clique sur un fichier joint et l'active, ou si le ver obtient le contrôle via une faille de sécurité IFRAME), le code du ver gagne le contrôle. Tout d'abord, il dépose (installe) ses composants sur le système et s'enregistre dans le registre du système.

Le nom de fichier cheval de Troie installé, le répertoire cible et la clé de registre sont facultatifs. Ils sont stockés sous forme cryptée dans le fichier cheval de Troie à la fin du fichier. Un pirate peut les configurer avant de les envoyer à la machine d'une victime, ou avant de les mettre sur un site Web.

Le ver dépose également un talonneur de clavier supplémentaire (fichier DLL Win32) sur le système, puis l'utilise pour espionner le texte entré par un clavier. Le nom du fichier DLL est également facultatif.

D'autres fonctionnalités optionnelles sont:

- le ver supprime le fichier infecté original lorsque l'installation est terminée
- la taille du fichier journal du clavier

Diffusion

Pour envoyer des messages infectés, le ver utilise une connexion directe à un serveur SMTP. Les adresses e-mail d'une victime sont obtenues de deux manières différentes:

#1. Le ver scanne les fichiers * .HT * et * .ASP et extrait les adresses e-mail d'ici
# 2. Le ver, à l'aide des fonctions MAPI, lit tous les messages électroniques provenant de la boîte entrante et obtient les adresses de messagerie d'ici.

Ensuite, le ver envoie des messages infectés. Le corps du message contient du format HTML et utilise une violation IFRAME pour générer une pièce jointe infectée sur des machines vulnérables.

Les champs de message sont les suivants:

De: - expéditeur original, ou fausse adresse, choisi au hasard parmi:

"Anna"
"JUDY"
"Rita Tulliani"
"Tina"
"Kelly Andersen"
" Andy"
"Linda"
"Mon S"
"Joanna"
"JESSICA BENAVIDES"
"Administrateur"
"Admin"
"Soutien"
"Monika Prado"
"Mary L. Adams"
"Anna"
"JUDY"
"Tina"

L'adresse de l'expéditeur d'origine est un peu modifiée: le caractère "_" est inséré avant l'adresse e-mail, par exemple:

"John K. Smith" "Vasja Pupkin" - adresse d'origine

"John K. Smith" <_john123@yahoo.com> "Vasja Pupkin" <_vasyap@rambler.ru> - envoyé par ver

Sujet : vide, ou "Re:", ou "Re:" suivi du Sujet original du message réel de la boîte de réception (voir # 2 ci-dessus)
Corps : vide
Pièce jointe : sélectionné au hasard "nom de fichier + ext1 + ext2" où:

"Nom de fichier":

 Carte Pics (ou PICS) (ou CARD) images (ou IMAGES) Me_nude (ou ME_NUDE) README Sorry_about_yesterday New_Napster_Site info news_doc (ou NEWS_DOC) docs (ou DOCS) HAMSTER Humour (ou HUMOUR) Vous êtes gros! (ou YOU_ARE_FAT!) amusant (ou FUN) choses SEARCHURL SETUP S3MSONG "ext1": .DOC .ZIP .MP3 "ext2": .scr, .pif

Par exemple: "info.DOC.scr"

Le ver n'envoie pas deux fois les messages infectés à la même adresse. Pour ce faire, il stocke tous les e-mails infectés dans le répertoire système Windows dans un fichier PROTOCOL.DLL et vérifie le contenu de ce fichier avant d'envoyer un nouveau message.

Spying Trojan

Cette routine stocke les informations volées dans un fichier journal (avec un nom facultatif) et chiffre ces informations avec une clé (également facultative). Après un certain temps, ces informations sont envoyées à l'une des adresses électroniques choisies au hasard. Une liste de ces adresses apparaît ci-dessous; la liste contient 22 adresses et serveurs de messagerie; et ces messages sont envoyés via (email + serveur):

 ZVDOHYIK@yahoo.com mx2.mail.yahoo.com udtzqccc@yahoo.com mx2.mail.yahoo.com DTCELACB@yahoo.com mx2.mail.yahoo.com I1MCH2TH@yahoo.com mx2.mail.yahoo.com WPADJQ12@yahoo.com mx2.mail.yahoo.com fjshd@rambler.ru mail5.rambler.ru smr@eurosport.com mail.ifrance.com bgnd2@canada.com mail.canada.com muwripa@fairesuivre.com fs.cpio.com rmxqpey@latemodels.com inbound.latemodels.com.criticalpath.net eccles@ballsy.net inbound.ballsy.net.criticalpath.net suck_my_prick@ijustgotfired.com mail.monkeybrains.net suck_my_prick4@ukr.net mail.ukr.net thisisno_fucking_good@usa.com usa-com.mr.outblaze.com S_Mentis@mail-x-change.com mail-fwd.rapidsite.net YJPFJTGZ@excite.com mta.excite.com JGQZCD@excite.com mta.excite.com XHZJ3@excite.com mta.excite.com OZUNYLRL@excite.com mta.excite.com tsnlqd@excite.com mta.excite.com cxkawog@krovatka.net imap.front.ru ssdn@myrealbox.com smtp.myrealbox.com

Trouvé dans le sauvage

Cette variante de ver trouvée dans la nature le 24 novembre 2001 offre les options suivantes:

Il s'installe dans un répertoire système Windows avec le nom KERNEL32.EXE et l'enregistre dans la clé de registre suivante:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce Kernel32 = kernel32.exe

Il supprime un talonneur de clavier avec le nom KDLL.DLL. Les informations de journal sont stockées dans le répertoire système Windows avec le nom CP_25389.NLS.

En savoir plus

Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com