Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

Il s'agit d'un virus qui se propage via des e-mails infectés et qui infecte les fichiers Windows EXE sur les ordinateurs. Les routines du ver ont des bugs, et dans certains cas, arrêtent l'ordinateur et / ou corrompent les fichiers en les infectant.

Le code du ver a les chaînes de texte "copyright":

(c) Vecna
Vecna est un rocker punk maintenant …

Fichier infecté exécuté

Le ver peut entrer dans un ordinateur via des e-mails infectés provenant du réseau local ou de tout autre fichier infecté qui est exécuté.

Lorsque le ver démarre, il extrait d'un fichier infecté son code "principal" (c'est-à-dire le code viral "pur" – fichier Win32 PE EXE de 9,5 Ko), l'enregistre dans le répertoire TEMP de Windows avec un nom aléatoire (par exemple , LNBAMKON.EXE, MMCAAHAN.EXE) et exécute ce fichier.

Lorsque le code "principal" du virus prend le contrôle, il déplace son fichier dans le répertoire Windows référencé dans la clé de Registre:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShell Folders
Démarrage commun =% démarrage%

Le nom du répertoire% startup% dépend de la version de Windows, par exemple:

Documents et paramètresTous les utilisateursDémarrer le menuProgrammesStartup
% WindowsDir% Tous les utilisateursStart MenuProgramsStartup

Le ver se déplace dans ce répertoire% startup% avec un nom aléatoire qui a huit chiffres sélectionnés au hasard et une extension .EXE, par exemple:

00544102.EXE
17060133.EXE
37154273.EXE

Le ver exécute ensuite cette copie dans le répertoire "Démarrage" et supprime la première copie dans le répertoire TEMP de Windows, par exemple:

C: VIRUS.EXE – fichier infecté est exécuté
C: WINDOWSTEMPMMCAAHAN.EXE – 1ère copie est créée et exécutée
C: WINDOWSAll UsersStart MenuProgramsStartup 0544102.EXE – ceci est la 2ème copie, il est créé ici et exécuté. La 1ère copie est supprimée ensuite.

En raison d'un bug, dans certains cas, le ver se bloque au milieu de ce processus, et la première copie est laissée dans le répertoire TEMP.

Lorsque ce processus de «déplacement de fichier» est terminé, le ver installe un hook «furtif» et exécute les routines de propagation d'infection et de courrier électronique.

Infection

La routine d'infection lors du contrôle des gains, recherche un fichier exécutable .EXE et .SCR Windows sur tous les lecteurs locaux et réseau, et les infecte. Lors de l'infection, il obtient un bloc à partir du centre du fichier, le compresse et stocke les données compressées et le code du ver dans le fichier afin que la longueur du fichier n'augmente pas.

Le ver utilise également un moteur de mutation polymorphe pour rendre le processus de détection et de désinfection plus complexe.

Envoi d'e-mails

Pour se propager, le ver se connecte à un serveur de messagerie SMTP et envoie des messages infectés à des adresses de messagerie. À la fois le nom du serveur SMTP et les adresses de messagerie, le ver est obtenu à partir des fichiers de données WAB (Carnet d'adresses Windows).

Les messages infectés sont au format HTML et ont des champs:

De: "Mondo bizarro" [mourning@obituary.org]
Sujet: Joey est mort, mec … 🙁
Texte: Un hommage à Joey Ramone (1951-2001)
Joindre: ramones.mp3.exe

Le ver utilise l'une des failles de sécurité (Identifiant de vulnérabilité: CAN-2001-0154) trouvées dans MS Windows en 2001. Le résultat de cette violation est la possibilité de générer un fichier EXE attaché sans action de l'utilisateur. Lorsqu'un fichier électronique infecté est ouvert en lecture ou en aperçu, le fichier EXE du ver est automatiquement exécuté.

Microsoft a déjà publié un correctif qui élimine cette vulnérabilité. Des informations supplémentaires peuvent être trouvées ici: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Furtif

Le ver connecte les appels système FindFile et FindProcess Windows (FindFirstFileA, FindNextFileA, Process32First, Process32Next). Le ver traite ces appels de sorte que sa copie dans le répertoire "startup" (voir ci-dessus) n'est pas signalée. Par conséquent, le fichier ver n'est pas visible dans les fichiers et les listes de processus.

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Email-Worm
Plateforme	Win32
Description	Détails techniques Il s'agit d'un virus qui se propage via des e-mails infectés et qui infecte les fichiers Windows EXE sur les ordinateurs. Les routines du ver ont des bugs, et dans certains cas, arrêtent l'ordinateur et / ou corrompent les fichiers en les infectant. Le code du ver a les chaînes de texte "copyright": (c) Vecna Vecna est un rocker punk maintenant … Fichier infecté exécuté Le ver peut entrer dans un ordinateur via des e-mails infectés provenant du réseau local ou de tout autre fichier infecté qui est exécuté. Lorsque le ver démarre, il extrait d'un fichier infecté son code "principal" (c'est-à-dire le code viral "pur" – fichier Win32 PE EXE de 9,5 Ko), l'enregistre dans le répertoire TEMP de Windows avec un nom aléatoire (par exemple , LNBAMKON.EXE, MMCAAHAN.EXE) et exécute ce fichier. Lorsque le code "principal" du virus prend le contrôle, il déplace son fichier dans le répertoire Windows référencé dans la clé de Registre: HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShell Folders Démarrage commun =% démarrage% Le nom du répertoire% startup% dépend de la version de Windows, par exemple: Documents et paramètresTous les utilisateursDémarrer le menuProgrammesStartup % WindowsDir% Tous les utilisateursStart MenuProgramsStartup Le ver se déplace dans ce répertoire% startup% avec un nom aléatoire qui a huit chiffres sélectionnés au hasard et une extension .EXE, par exemple: 00544102.EXE 17060133.EXE 37154273.EXE Le ver exécute ensuite cette copie dans le répertoire "Démarrage" et supprime la première copie dans le répertoire TEMP de Windows, par exemple: C: VIRUS.EXE – fichier infecté est exécuté C: WINDOWSTEMPMMCAAHAN.EXE – 1ère copie est créée et exécutée C: WINDOWSAll UsersStart MenuProgramsStartup 0544102.EXE – ceci est la 2ème copie, il est créé ici et exécuté. La 1ère copie est supprimée ensuite. En raison d'un bug, dans certains cas, le ver se bloque au milieu de ce processus, et la première copie est laissée dans le répertoire TEMP. Lorsque ce processus de «déplacement de fichier» est terminé, le ver installe un hook «furtif» et exécute les routines de propagation d'infection et de courrier électronique. Infection La routine d'infection lors du contrôle des gains, recherche un fichier exécutable .EXE et .SCR Windows sur tous les lecteurs locaux et réseau, et les infecte. Lors de l'infection, il obtient un bloc à partir du centre du fichier, le compresse et stocke les données compressées et le code du ver dans le fichier afin que la longueur du fichier n'augmente pas. Le ver utilise également un moteur de mutation polymorphe pour rendre le processus de détection et de désinfection plus complexe. Envoi d'e-mails Pour se propager, le ver se connecte à un serveur de messagerie SMTP et envoie des messages infectés à des adresses de messagerie. À la fois le nom du serveur SMTP et les adresses de messagerie, le ver est obtenu à partir des fichiers de données WAB (Carnet d'adresses Windows). Les messages infectés sont au format HTML et ont des champs: De: "Mondo bizarro" [mourning@obituary.org] Sujet: Joey est mort, mec … 🙁 Texte: Un hommage à Joey Ramone (1951-2001) Joindre: ramones.mp3.exe Le ver utilise l'une des failles de sécurité (Identifiant de vulnérabilité: CAN-2001-0154) trouvées dans MS Windows en 2001. Le résultat de cette violation est la possibilité de générer un fichier EXE attaché sans action de l'utilisateur. Lorsqu'un fichier électronique infecté est ouvert en lecture ou en aperçu, le fichier EXE du ver est automatiquement exécuté. Microsoft a déjà publié un correctif qui élimine cette vulnérabilité. Des informations supplémentaires peuvent être trouvées ici: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp Furtif Le ver connecte les appels système FindFile et FindProcess Windows (FindFirstFileA, FindNextFileA, Process32First, Process32Next). Le ver traite ces appels de sorte que sa copie dans le répertoire "startup" (voir ci-dessus) n'est pas signalée. Par conséquent, le fichier ver n'est pas visible dans les fichiers et les listes de processus.
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Email-Worm.Win32.Puron

Détails techniques

Fichier infecté exécuté

Infection

Envoi d'e-mails

Furtif