Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

C'est un ver dangereux qui se propage à travers les canaux Internet et IRC, ainsi que l'infection du réseau local. Le ver lui-même est une application Windows écrite en Delphi à environ 90 Ko de taille (le ver peut également être compressé par un outil de compression PE EXE, donc la taille du fichier résultat peut être inférieure à l'original).

Envoyer des emails

Pour envoyer des e-mails infectés à partir d'ordinateurs affectés, le ver essaie deux méthodes différentes. Tout d'abord, il cherche Eudora mailer installé dans le système. S'il y en a un, le ver scanne la base de données Eudora sortante (fichier OUT.MBX), obtient des adresses email à partir de là et envoie des emails infectés avec une copie de ver attachée à ces adresses. Les messages du ver ont:

Objet: concernant la semaine dernière …
Texte: S'il vous plaît examiner le ci-joint et revenir avec moi dès que possible.
Double-cliquez sur l'icône pour l'ouvrir.
Joindre: c: silver.exe

Ensuite, le ver tente d'installer un système de messagerie électronique qui ne dépend pas de la marque. Pour ce faire, le ver utilise des fonctions MAPI: il se connecte au système de messagerie installé, reçoit des messages à partir de là, lit les adresses e-mail et les utilise pour envoyer ses copies. Dans ce cas, les messages ont:

Sujet : Re: maintenant c'est une belle photo 🙂
Texte: Je pensais que vous pourriez être intéressé à la voir
Joindre: naked.jpg.exe

Infecter les clients mIRC et PIRCH

Pour affecter les clients IRC, le ver recherche les répertoires C: MIRC, C: MIRC32, C: PIRCH98 et remplace les scripts IRC par un programme qui envoie une copie de ver à chaque utilisateur qui entre dans le canal affecté.

Le script mIRC a également des fonctionnalités supplémentaires. Lorsqu'un utilisateur envoie au canal IRC un message contenant le texte «silverrat», le ver répond à l'utilisateur avec le message «J'ai le virus Silver Rat» (le ver envoie donc au maître des informations sur les ordinateurs infectés). Si le texte "pyrealrat" est trouvé dans le canal, le script ouvre le lecteur C: sur la machine affectée en tant que serveur de fichiers (qui donne accès au ver maître à toutes les données sur le lecteur C:).

Diffusion à travers le réseau local

Pour infecter des ordinateurs distants sur le réseau, le ver scanne tous les lecteurs de C: jusqu'à Z: et recherche le répertoire WINDOWS dans ce répertoire. S'il y en a un, le ver s'y copie et s'enregistre dans la section d'exécution automatique Windows du fichier WIN.INI ou dans le registre du système en fonction de la version de Windows (Win9x ou WinNT). Ainsi, le ver est capable d'infecter des ordinateurs distants au cas où leurs disques seraient partagés en lecture / écriture.

Installation dans le système

Pour s'installer dans le système, le ver se copie dans les répertoires avec les noms:

dans le répertoire Windows: SILVER.EXE, SILVER.VXD, NAKED.JPG.EXE, NAKED.JPG.SCR
en C: lecteur racine: SILVER.EXE

Le ver s'enregistre ensuite dans les champs à exécution automatique du registre système:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKUSoftwareMicrosoftWindowsCurrentVersionRun

Tous ces champs contiendront l'instruction:

"Rat d'argent" = WinDirsilver.exe

où "WinDir" est le nom du répertoire Windows.

Par conséquent, la copie du ver est exécutée quatre fois à chaque démarrage de Windows. Pour s'exécuter plus de fois (et pour envoyer plus de courriels infectés en conséquence) le ver affecte également plus de clés de registre.

Affecter les clés de registre

Les applications Windows sont liées aux extensions de nom de fichier par des enregistrements spéciaux dans le registre système. Ces enregistrements pointent vers l'application qui est exécutée pour traiter les fichiers avec l'extension spécifiée. Lorsqu'un fichier est ouvert, Windows obtient son extension, puis se réfère au registre du système pour obtenir le nom de l'application qui traite les fichiers de ce type.

Le ver utilise cette fonctionnalité de Windows et modifie plus de 100 de ces clés de registre – il remplace la référence originale aux applications par une référence à sa propre copie (SILVER.VXD). Le ver fait cela pour trois clés différentes par application:

shellopencommand
shelleditcommand
Shellplaycommand

Les clés de registre corrigées ressemblent à ceci:

HKCRAIFFFILEshellopencommand = "C: WINDOWSsilver.vxd 33157"% 1 "%"
HKCRAIFFFILEshellplaycommand = "C: WINDOWSsilver.vxd 53157"% 1 "%"
HKCRASFFILEshellopencommand = "C: WINDOWSsilver.vxd 379157"% 1 "%"

où les chiffres de la ligne sont des ID pour exécuter le fichier hôte (voir ci-dessous).

La liste des applications affectées (les clés de registre qui relient l'extension du nom de fichier à l'application) est plutôt grande et ressemble à ceci:
 accesshtmlfile iqyfile regedit fonfile
 accessthmltemplate IVFfile regfile GatewayFile
 AIFFFILE jpegfile SHCmdFile htafile
 AllaireTemplate JSFile SoundRec icsfile
 anifile ldap tgafile mhtmlfile
 artfile mailto txtfile MMS
 Aspfile mic VBSFile MMST
 AudioCD MID Fichier wab_auto_file MMSU
 aufile money Winamp.File NSM
 AVIFile MOVFile WinRAR MSBD
 Mallette MPEGFILE WinRAR.ZIP motiffile
 cdafile MPlayer WinZip Msi.Package
 Bavarder mscfile wrifile Msi.Patch
 CSSfile msee WSFFile ofc.Document
 curfile msgfile x-internet-inscription dex.Document
 Drive MSProgramGroup xbmfile pjpegfile
 DrWatsonLog Net2PhoneApp xmlfile PNM
 Excel.Workspace NetscapeMarkup xnkfile qwb.Document
 ftp nouvelles xslfile rtsp
 giffile nntp m3ufile scpfile
 fichier d'aide Notes.Link Fichier de script ASFFile
 hlpfile ossfile ASXFile SSM
 Perspectives htfile BeHostFile ThemeFile
 htmlfile PBrush ChannelFile TIFImage.Document
 http pcxfile chm.file ttffile
 https pngfile CMCD WangImage.Document
 icofile powerpointhtmlfile Profil du gestionnaire de connexion Tableau blanc
 icquser ramfile eybfile WIFImage.Document
 Fichier RealMedia inifile fndfile WSHFile
Le ver stocke les clés d'origine dans l'autre clé de registre:

HKLMSoftwareSilver Rat

Cette clé contient la liste de toutes les clés qui ont été remplacées comme indiqué ci-dessus. Cette liste est utilisée par le ver pour exécuter l'application d'origine: le ver obtient le nom de l'application et la ligne de commande à partir de cette liste de "sauvegarde", et l'engendre.

Une telle méthode d'enregistrement du système affectant est très dangereuse. Dans le cas où la copie de vers est supprimée du système, Windows ne peut pas transmettre les fichiers à l'application répertoriés ci-dessus. Par conséquent, Windows reste principalement non fonctionnel après cela. Dans le cas où un fichier de la liste affectée est ouvert, il signale un message d'erreur que le SILVER.VXD associé ne peut pas être trouvé.

Le ver accorde une attention particulière aux fichiers de sauvegarde du système et se débarrasse d'eux pour empêcher la restauration des fichiers de registre à partir de la sauvegarde. Pour ce faire, le ver corrompt (remplace les premiers 5K de chaque fichier par des données de corbeille) et supprime les fichiers:

USER.DA0 et SYSTEM.DA0 dans le répertoire Windows
SYSTEM.1ST dans le répertoire racine du lecteur C:

"Désinstaller" la charge utile

Le ver a une routine de charge utile qui est exécutée dans un cas de "désinstallation".

Le ver crée la clé "uninstall" dans le registre du système:

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rat
DisplayName = "Virus de rat argenté"
UninstallString = "c: silver.exe / uninstall"

Par conséquent, l'enregistrement de ver est visible dans la fenêtre ControlPanel / AddRemovePrograms en tant que "virus Silver Rat". Si vous cliquez sur le bouton "Supprimer", le ver affiche la boîte de message:

Du sang
"Je dois retourner quelques vidéos" – American Psycho

et remplit avec la poubelle la ligne d'en-tête dans la fenêtre RecycleBin (voir image).

Autres caractéristiques

Le ver recherche les applications antivirus actives et les termine par leurs noms:

Moniteur AVP
Norton AntiVirus Auto-Protect
Norton AntiVirus v5.0
VShieldWin_Class
NAI_VS_STAT
McAfee VirusScan Scheduler
Alarme de zone
WRQ NAMApp Class

Il recherche également les fichiers antivirus (bases de données) et les supprime:

* .AVC (AVP)
* .DAT (NAI)
BAVAP.VXD, NAVKRNLN.VXD (NAV)

Le ver essaie également d'affecter les fichiers VBS mais échoue à cause d'un bug.

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Email-Worm
Plateforme	Win32
Description	Détails techniques C'est un ver dangereux qui se propage à travers les canaux Internet et IRC, ainsi que l'infection du réseau local. Le ver lui-même est une application Windows écrite en Delphi à environ 90 Ko de taille (le ver peut également être compressé par un outil de compression PE EXE, donc la taille du fichier résultat peut être inférieure à l'original). Envoyer des emails Pour envoyer des e-mails infectés à partir d'ordinateurs affectés, le ver essaie deux méthodes différentes. Tout d'abord, il cherche Eudora mailer installé dans le système. S'il y en a un, le ver scanne la base de données Eudora sortante (fichier OUT.MBX), obtient des adresses email à partir de là et envoie des emails infectés avec une copie de ver attachée à ces adresses. Les messages du ver ont: Objet: concernant la semaine dernière … Texte: S'il vous plaît examiner le ci-joint et revenir avec moi dès que possible. Double-cliquez sur l'icône pour l'ouvrir. Joindre: c: silver.exe Ensuite, le ver tente d'installer un système de messagerie électronique qui ne dépend pas de la marque. Pour ce faire, le ver utilise des fonctions MAPI: il se connecte au système de messagerie installé, reçoit des messages à partir de là, lit les adresses e-mail et les utilise pour envoyer ses copies. Dans ce cas, les messages ont: Sujet : Re: maintenant c'est une belle photo 🙂 Texte: Je pensais que vous pourriez être intéressé à la voir Joindre: naked.jpg.exe Infecter les clients mIRC et PIRCH Pour affecter les clients IRC, le ver recherche les répertoires C: MIRC, C: MIRC32, C: PIRCH98 et remplace les scripts IRC par un programme qui envoie une copie de ver à chaque utilisateur qui entre dans le canal affecté. Le script mIRC a également des fonctionnalités supplémentaires. Lorsqu'un utilisateur envoie au canal IRC un message contenant le texte «silverrat», le ver répond à l'utilisateur avec le message «J'ai le virus Silver Rat» (le ver envoie donc au maître des informations sur les ordinateurs infectés). Si le texte "pyrealrat" est trouvé dans le canal, le script ouvre le lecteur C: sur la machine affectée en tant que serveur de fichiers (qui donne accès au ver maître à toutes les données sur le lecteur C:). Diffusion à travers le réseau local Pour infecter des ordinateurs distants sur le réseau, le ver scanne tous les lecteurs de C: jusqu'à Z: et recherche le répertoire WINDOWS dans ce répertoire. S'il y en a un, le ver s'y copie et s'enregistre dans la section d'exécution automatique Windows du fichier WIN.INI ou dans le registre du système en fonction de la version de Windows (Win9x ou WinNT). Ainsi, le ver est capable d'infecter des ordinateurs distants au cas où leurs disques seraient partagés en lecture / écriture. Installation dans le système Pour s'installer dans le système, le ver se copie dans les répertoires avec les noms: dans le répertoire Windows: SILVER.EXE, SILVER.VXD, NAKED.JPG.EXE, NAKED.JPG.SCR en C: lecteur racine: SILVER.EXE Le ver s'enregistre ensuite dans les champs à exécution automatique du registre système: HKCUSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices HKUSoftwareMicrosoftWindowsCurrentVersionRun Tous ces champs contiendront l'instruction: "Rat d'argent" = WinDirsilver.exe où "WinDir" est le nom du répertoire Windows. Par conséquent, la copie du ver est exécutée quatre fois à chaque démarrage de Windows. Pour s'exécuter plus de fois (et pour envoyer plus de courriels infectés en conséquence) le ver affecte également plus de clés de registre. Affecter les clés de registre Les applications Windows sont liées aux extensions de nom de fichier par des enregistrements spéciaux dans le registre système. Ces enregistrements pointent vers l'application qui est exécutée pour traiter les fichiers avec l'extension spécifiée. Lorsqu'un fichier est ouvert, Windows obtient son extension, puis se réfère au registre du système pour obtenir le nom de l'application qui traite les fichiers de ce type. Le ver utilise cette fonctionnalité de Windows et modifie plus de 100 de ces clés de registre – il remplace la référence originale aux applications par une référence à sa propre copie (SILVER.VXD). Le ver fait cela pour trois clés différentes par application: shellopencommand shelleditcommand Shellplaycommand Les clés de registre corrigées ressemblent à ceci: HKCRAIFFFILEshellopencommand = "C: WINDOWSsilver.vxd 33157"% 1 "%" HKCRAIFFFILEshellplaycommand = "C: WINDOWSsilver.vxd 53157"% 1 "%" HKCRASFFILEshellopencommand = "C: WINDOWSsilver.vxd 379157"% 1 "%" où les chiffres de la ligne sont des ID pour exécuter le fichier hôte (voir ci-dessous). La liste des applications affectées (les clés de registre qui relient l'extension du nom de fichier à l'application) est plutôt grande et ressemble à ceci: accesshtmlfile iqyfile regedit fonfile accessthmltemplate IVFfile regfile GatewayFile AIFFFILE jpegfile SHCmdFile htafile AllaireTemplate JSFile SoundRec icsfile anifile ldap tgafile mhtmlfile artfile mailto txtfile MMS Aspfile mic VBSFile MMST AudioCD MID Fichier wab_auto_file MMSU aufile money Winamp.File NSM AVIFile MOVFile WinRAR MSBD Mallette MPEGFILE WinRAR.ZIP motiffile cdafile MPlayer WinZip Msi.Package Bavarder mscfile wrifile Msi.Patch CSSfile msee WSFFile ofc.Document curfile msgfile x-internet-inscription dex.Document Drive MSProgramGroup xbmfile pjpegfile DrWatsonLog Net2PhoneApp xmlfile PNM Excel.Workspace NetscapeMarkup xnkfile qwb.Document ftp nouvelles xslfile rtsp giffile nntp m3ufile scpfile fichier d'aide Notes.Link Fichier de script ASFFile hlpfile ossfile ASXFile SSM Perspectives htfile BeHostFile ThemeFile htmlfile PBrush ChannelFile TIFImage.Document http pcxfile chm.file ttffile https pngfile CMCD WangImage.Document icofile powerpointhtmlfile Profil du gestionnaire de connexion Tableau blanc icquser ramfile eybfile WIFImage.Document Fichier RealMedia inifile fndfile WSHFile Le ver stocke les clés d'origine dans l'autre clé de registre: HKLMSoftwareSilver Rat Cette clé contient la liste de toutes les clés qui ont été remplacées comme indiqué ci-dessus. Cette liste est utilisée par le ver pour exécuter l'application d'origine: le ver obtient le nom de l'application et la ligne de commande à partir de cette liste de "sauvegarde", et l'engendre. Une telle méthode d'enregistrement du système affectant est très dangereuse. Dans le cas où la copie de vers est supprimée du système, Windows ne peut pas transmettre les fichiers à l'application répertoriés ci-dessus. Par conséquent, Windows reste principalement non fonctionnel après cela. Dans le cas où un fichier de la liste affectée est ouvert, il signale un message d'erreur que le SILVER.VXD associé ne peut pas être trouvé. Le ver accorde une attention particulière aux fichiers de sauvegarde du système et se débarrasse d'eux pour empêcher la restauration des fichiers de registre à partir de la sauvegarde. Pour ce faire, le ver corrompt (remplace les premiers 5K de chaque fichier par des données de corbeille) et supprime les fichiers: USER.DA0 et SYSTEM.DA0 dans le répertoire Windows SYSTEM.1ST dans le répertoire racine du lecteur C: "Désinstaller" la charge utile Le ver a une routine de charge utile qui est exécutée dans un cas de "désinstallation". Le ver crée la clé "uninstall" dans le registre du système: HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rat DisplayName = "Virus de rat argenté" UninstallString = "c: silver.exe / uninstall" Par conséquent, l'enregistrement de ver est visible dans la fenêtre ControlPanel / AddRemovePrograms en tant que "virus Silver Rat". Si vous cliquez sur le bouton "Supprimer", le ver affiche la boîte de message: Du sang "Je dois retourner quelques vidéos" – American Psycho et remplit avec la poubelle la ligne d'en-tête dans la fenêtre RecycleBin (voir image). Autres caractéristiques Le ver recherche les applications antivirus actives et les termine par leurs noms: Moniteur AVP Norton AntiVirus Auto-Protect Norton AntiVirus v5.0 VShieldWin_Class NAI_VS_STAT McAfee VirusScan Scheduler Alarme de zone WRQ NAMApp Class Il recherche également les fichiers antivirus (bases de données) et les supprime: * .AVC (AVP) * .DAT (NAI) BAVAP.VXD, NAVKRNLN.VXD (NAV) Le ver essaie également d'affecter les fichiers VBS mais échoue à cause d'un bug.
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Email-Worm.Win32.Silver

Détails techniques

Envoyer des emails

Infecter les clients mIRC et PIRCH

Diffusion à travers le réseau local

Installation dans le système

Affecter les clés de registre

"Désinstaller" la charge utile

Autres caractéristiques