CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Burnox

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

Burnox est un virus qui se propage via Internet en tant que pièce jointe dans des courriels infectés et qui se propage dans le réseau de partage de fichiers de Kazaa. Le ver télécharge également à partir d'un site Web et installe un cheval de Troie de porte dérobée sur le système.

Le ver lui-même est un fichier Windows PE EXE d'environ 4 Ko (lorsqu'il est compressé par FSG, la taille décompressée est d'environ 20 Ko) et écrit en VisualBasic.

Installation

Lors de l'installation du ver se copie dans le répertoire système Windows avec le nom "MicrosoftUpdate.com" et enregistre ce fichier dans la clé d'exécution automatique du registre système:

   HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Windows Update =% SystemDir% MicrosoftUpdate.com

où% SystemDir% est le chemin du répertoire système Windows.

Le ver crée également une clé de registre système où il conserve son compteur:

   HKLMSOFTWAREMicrosoftWindowsCurrentVersion Startup =% counter%

le% compteur% est mis à '1', et est augmenté à chaque démarrage de chaque ver. En fonction de ce compteur, le ver active ses routines d'étalement.

Diffusion: E-mail

Pour envoyer des messages infectés, le ver utilise MS Outlook et envoie des messages à toutes les adresses trouvées dans le carnet d'adresses Outlook. Les messages Ifected ont le texte suivant:

 Objet: Important: correctif Microsoft Windows pour Xp, 2k, ME, 98,95.

 Corps:      

   Microsoft vient de publier ce correctif pour toutes les versions de Microsoft Windows.
   Cette mise à jour corrige de nombreuses vulnérabilités récentes!
   Il est recommandé de corriger votre système d'exploitation maintenant. Bien que ce ne soit pas nécessaire.

   * S'il vous plaît noter * Ce n'est pas le correctif de Microsoft réel. Le programme ci-joint est Microsoft Update

 Joindre: MicrosoftUpdate.com

Le ver s'active à partir d'e-mails infectés uniquement dans le cas où un utilisateur clique sur le fichier joint. Le ver s'installe ensuite dans le système et exécute des routines d'épandage.

Épandage: KaZaa

Le ver crée un sous-répertoire avec le nom "system16" dans le répertoire système de Windows et s'y copie avec les noms:

   kmd.exe Game Trainer.exe Hacker.exe                         
   icq2003a.exe Game.exe Hacks.exe                          
   icq2003b.exe App.exe xbox Hacker.exe                    
   icq2003Final.exe App Crack.exe Ps2 Bios Emulation.exe             
   icq2002a.exe Cracker.exe xbox Bios Hack.exe                 
   icq2003a.exe Games.exe graver des jeux PS2 à un CD-R.exe unique
   icq crack.exe Jeux trainer.exe Graver ps2.exe                       
   Objectif crack.exe Trainer.exe graver xbox.exe                      
   icq lite.exe Cheat.exe graver dreamcast.exe                 
   imeshv2.exe Jeu Hack.exe   

Le répertoire "system16" est ensuite enregistré en tant que ressource de partage de fichiers Kazaa.

Installation du cheval de Troie Backdoor

Le ver télécharge le "Backdoor.Slackbot" à partir du site Web http://www.wawater.com, le stocke dans le fichier "c: unxrt.exe" et l'exécute.


Lien vers l'original