Email-Worm.Win32.BadtransII

Détails techniques

C'est un ver qui se propage sous les systèmes Win32. Le virus envoie des messages électroniques avec des fichiers infectés joints, et installe un composant de Troie d'espionnage pour dérober des informations des systèmes infectés. Le ver a été découvert à l'état sauvage en novembre 2001.

Le ver lui-même est un fichier exécutable Win32 (fichier PE EXE). Il a été trouvé dans la nature sous forme comprimée et mesure environ 29Kb. Après avoir été décompressé, la taille du fichier de ver devient d'environ 60Kb.

Le ver se compose de deux composants principaux, le ver et le cheval de Troie. Le composant «Worm» envoie des messages infectés et le composant «Trojan» envoie des informations (informations de l'utilisateur, données RAS, mots de passe mis en cache, journal du clavier) des ordinateurs infectés à une adresse de messagerie spécifiée. Il garde également un corps de programme "keylogger" dans son code, et l'installe dans le système tout en infectant une nouvelle machine.

Infecter le système

Lorsqu'un fichier infecté est exécuté (lorsqu'un utilisateur clique sur un fichier joint et l'active, ou si le ver obtient le contrôle via une faille de sécurité IFRAME), le code du ver gagne le contrôle. Tout d'abord, il dépose (installe) ses composants sur le système et s'enregistre dans le registre du système.

Le nom de fichier cheval de Troie installé, le répertoire cible et la clé de registre sont facultatifs. Ils sont stockés sous forme cryptée dans le fichier cheval de Troie à la fin du fichier. Un pirate peut les configurer avant de les envoyer à la machine d'une victime, ou avant de les mettre sur un site Web.

Le ver dépose également un talonneur de clavier supplémentaire (fichier DLL Win32) sur le système, puis l'utilise pour espionner le texte entré par un clavier. Le nom du fichier DLL est également facultatif.

D'autres fonctionnalités optionnelles sont:

– le ver supprime le fichier infecté original lorsque l'installation est terminée
– la taille du fichier journal du clavier

Diffusion

Pour envoyer des messages infectés, le ver utilise une connexion directe à un serveur SMTP. Les adresses e-mail d'une victime sont obtenues de deux manières différentes:

#1. Le ver scanne les fichiers * .HT * et * .ASP et extrait les adresses e-mail d'ici
# 2. Le ver, à l'aide des fonctions MAPI, lit tous les messages électroniques provenant de la boîte entrante et obtient les adresses de messagerie d'ici.

Ensuite, le ver envoie des messages infectés. Le corps du message contient du format HTML et utilise une violation IFRAME pour générer une pièce jointe infectée sur des machines vulnérables.

Les champs de message sont les suivants:

De: – expéditeur original, ou fausse adresse, choisi au hasard parmi:

"Anna"
"JUDY"
"Rita Tulliani" "Tina"
"Kelly Andersen"
" Andy"
"Linda"
"Mon S"
"Joanna"
"JESSICA BENAVIDES"
"Administrateur"
"Admin"
"Soutien"
"Monika Prado"
"Mary L. Adams"
"Anna" "JUDY"
"Tina"

L'adresse de l'expéditeur d'origine est un peu modifiée: le caractère "_" est inséré avant l'adresse e-mail, par exemple:

"John K. Smith" "Vasja Pupkin" – adresse d'origine

"John K. Smith" <_john123@yahoo.com> "Vasja Pupkin" <_vasyap@rambler.ru> – envoyé par ver

Sujet : vide, ou "Re:", ou "Re:" suivi du Sujet original du message réel de la boîte de réception (voir # 2 ci-dessus)
Corps : vide
Pièce jointe : sélectionné au hasard "nom de fichier + ext1 + ext2" où:

"Nom de fichier":

 Carte Pics (ou PICS) (ou CARD)
 images (ou IMAGES) Me_nude (ou ME_NUDE)
 README Sorry_about_yesterday
 New_Napster_Site info
 news_doc (ou NEWS_DOC) docs (ou DOCS)
 HAMSTER Humour (ou HUMOUR)
 Vous êtes gros! (ou YOU_ARE_FAT!) amusant (ou FUN)
 choses SEARCHURL
 SETUP S3MSONG

 "ext1": .DOC .ZIP .MP3
 "ext2": .scr, .pif

Par exemple: "info.DOC.scr"

Le ver n'envoie pas deux fois les messages infectés à la même adresse. Pour ce faire, il stocke tous les e-mails infectés dans le répertoire système Windows dans un fichier PROTOCOL.DLL et vérifie le contenu de ce fichier avant d'envoyer un nouveau message.

Spying Trojan

Cette routine stocke les informations volées dans un fichier journal (avec un nom facultatif) et chiffre ces informations avec une clé (également facultative). Après un certain temps, ces informations sont envoyées à l'une des adresses électroniques choisies au hasard. Une liste de ces adresses apparaît ci-dessous; la liste contient 22 adresses et serveurs de messagerie; et ces messages sont envoyés via (email + serveur):

 ZVDOHYIK@yahoo.com mx2.mail.yahoo.com
 udtzqccc@yahoo.com mx2.mail.yahoo.com
 DTCELACB@yahoo.com mx2.mail.yahoo.com
 I1MCH2TH@yahoo.com mx2.mail.yahoo.com
 WPADJQ12@yahoo.com mx2.mail.yahoo.com
 fjshd@rambler.ru mail5.rambler.ru
 smr@eurosport.com mail.ifrance.com
 bgnd2@canada.com mail.canada.com
 muwripa@fairesuivre.com fs.cpio.com
 rmxqpey@latemodels.com inbound.latemodels.com.criticalpath.net
 eccles@ballsy.net inbound.ballsy.net.criticalpath.net
 suck_my_prick@ijustgotfired.com mail.monkeybrains.net
 suck_my_prick4@ukr.net mail.ukr.net
 thisisno_fucking_good@usa.com usa-com.mr.outblaze.com
 S_Mentis@mail-x-change.com mail-fwd.rapidsite.net
 YJPFJTGZ@excite.com mta.excite.com
 JGQZCD@excite.com mta.excite.com
 XHZJ3@excite.com mta.excite.com
 OZUNYLRL@excite.com mta.excite.com
 tsnlqd@excite.com mta.excite.com
 cxkawog@krovatka.net imap.front.ru
 ssdn@myrealbox.com smtp.myrealbox.com

Trouvé dans le sauvage

Cette variante de ver trouvée dans la nature le 24 novembre 2001 offre les options suivantes:

Il s'installe dans un répertoire système Windows avec le nom KERNEL32.EXE et l'enregistre dans la clé de registre suivante:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce Kernel32 = kernel32.exe

Il supprime un talonneur de clavier avec le nom KDLL.DLL. Les informations de journal sont stockées dans le répertoire système Windows avec le nom CP_25389.NLS.