Email-Worm.Win32.Swen

Détails techniques

Swen est un ver-virus très dangereux qui se propage sur Internet via le courrier électronique (sous la forme d'une pièce jointe infectée), le réseau de partage de fichiers Kazaa, les canaux IRC et les ressources réseau ouvertes.

Swen est écrit en Microsoft Visual C ++ et mesure 105 Ko (106496 octets).

Le ver s'active quand une victime lance le fichier infecté (double-cliquant sur la pièce jointe) ou lorsque l'application de messagerie d'une machine victime est vulnérable à la vulnérabilité IFrame.FileDownload (également exploitée par les vers Internet Klez et Tanatos ). Une fois exécuté, Swen s'installe dans le système et commence sa routine de propagation.

Vous pouvez télécharger le correctif publié en mars 2001 pour la vulnérabilité IFrame: Microsoft Security Bulletin MS01-20 .

Le ver bloque de nombreux programmes anti-virus et pare-feu. Son algorithme et des parties du texte de code sont presque identiques à celles d'un autre ver Internet appelé I-Worm.Gibe , bien que le langage de programmation utilisé soit différent.

Installation

Lors du premier lancement, le ver peut afficher la boîte de message "Microsoft Internet Update Pack". Ensuite, il imite l'installation du correctif:

Le ver se copie ensuite sous l'un des noms ci-dessous dans le répertoire Windows. Le nom peut être composé de plusieurs parties.

Première possibilité:

1. Kazaa Lite
   KaZaA media desktop
   KaZaA
   WinRar
   WinZip
   Winamp
   Mirc
   Télécharger l'accélérateur
   GetRight FTP
   Windows Media Player
2. Générateur de clé
   Pirater
   Piraté
   Warez
   Télécharger
   Installateur
   Télécharger
   Installateur

Deuxième possibilité:

1. Épouvantail
   Yaha
   Moquerie
   Sircam
   Tellement gros
   Klez
2. Dissolvant
   RemovalTool
   Nettoyeur
   Fixtool

Troisième possibilité:

Aol Hacker
Yahoo Hacker
Hotmail Hacker
10.000 publications en série
Jenna Jameson
Hardporn
Sexe
Émulateur Xbox
Émulateur Ps2
Mise à jour Xp
Xxx Vidéo
Blague malade
Photos Xxx
Ma soeur nue
Écran de veille hallucinogène
Cuisiner avec du cannabis
Champignons magiques en pleine croissance
Générateur de virus

Le nouveau fichier est enregistré dans la clé d'exécution automatique du Registre système Windows:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun  séquence aléatoire =% windir% nom de fichier autorun 

Une clé d'identification est créée, qui contient les paramètres de configuration des vers:

 HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer  séquence aléatoire 

Le ver crée ensuite un fichier nommé d'après la machine hôte infectée avec une extension BAT dans le dossier Windows. Le fichier contient les commandes suivantes:

@ÉCHO OFF
SI PAS "% 1" == "" .exe% 1

Ensuite, le ver modifie les valeurs de clé dans HKLMSoftwareClasses de manière à s'accrocher à l'exécution chaque fois que les types de fichiers BAT, COM, EXE, PIF, REG et SCR sont lancés.

 HKCRbatfileshellopencommand  Par défaut =% windir%  "%1" %*HKCRcomfileshellopencommand  Par défaut =% windir%  "%1" %*   HKEY_CLASSES_ROOTexefileshellopencommand  Par défaut =% windir%  "%1" %*HKCRpiffileshellopencommand  Par défaut =% windir%  "%1" %*HKCRregfileshellopencommand  Par défaut =% windir%  showerrorHKCRscrfileshellconfigcommand  Par défaut =% windir%  "%1"  HKCRscrfileshellopencommand  Par défaut =% windir%  "% 1" / S 

Désactive la capacité de l'utilisateur à modifier le registre du système:

 HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem  DisableRegistryTools = 01 00 00 00 

Au premier lancement, le ver accède au site Web distant suivant:

http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

Ce compteur indique le nombre d'ordinateurs infectés.

Lors de la tentative d'exécution d'une nouvelle copie du ver sur la machine déjà infectée, le ver affiche le message suivant:

Le ver scanne tous les disques pour les fichiers avec des extensions DBX, MDX, EML, WAB et qui contiennent aussi HT ou ASP dans l'extension. Swem extrait ensuite toutes les adresses e-mail qu'il peut trouver et les enregistre dans un fichier nommé germs0.dbv .

Le ver tente de se connecter à l'un des 350 serveurs identifiés dans le fichier swen1.dat , afin d'envoyer des emails infectés. Si la connexion est impossible, le ver affiche ensuite le message d'erreur suivant à propos d'une exception MAPI 32:

et demande une adresse e-mail correcte, ainsi qu'un serveur SMTP correct.

Propagation par email

Le ver s'envoie lui-même à toutes les adresses disponibles en utilisant une connexion directe à un serveur SMTP. Les e-mails infectés sont au format HTML et contiennent une pièce jointe (le ver réel).

Nom de l'expéditeur (composé de plusieurs parties):

1. Microsoft
   MME
2. (ne peut pas être utilisé)
   société
3. (ne peut pas être utilisé)
   Programme
   l'Internet
   Réseau
4. (toujours inclus avec la partie 3)
   Sécurité
5. (ne peut pas être utilisé)
   Division
   Section
   département
   Centre
6. (ne peut pas être utilisé)
   Publique
   Technique
   Client
7. (ne peut pas être utilisé)
   Bulletin
   Prestations de service
   Assistance
   Soutien

Par exemple:

Section Microsoft Internet Security
Assistance technique MS

Adresse de l'expéditeur (composée de 2 parties):

• avant "@": séquence aléatoire (exemple: tuevprkpevcg-gxwi @, dwffa @);
• après "@": se compose de 2 parties (bien qu'une seule puisse être utilisée):
  1. nouvelles
     bulletin
     bulletin
     confiance
     conseiller
     mises à jour
     technet
     soutien
  2. msdn
     Microsoft
     Mme
     msn

  Par exemple: "newsletter.microsoft" ou simplement "support". Si deux parties sont utilisées, elles sont séparées par "." Ou "_".

  Après le "." le domaine est soit "com" soit "net".

Sujet (composé de différentes parties):

1. Dernier
   Nouveau
   Dernier
   Date
   Actuel
2. Net
   Réseau
   Microsoft
   l'Internet
3. Sécurité
   Critique
4. Améliorer
   Pack
   Mettre à jour
   Pièce

Corps:

MS Client (Consommateur, Partenaire, Utilisateur – choisi au hasard)
c'est la dernière version de la mise à jour de sécurité, la
"Septembre 2003, Cumulative Patch" mise à jour qui résout
toutes les vulnérabilités de sécurité connues affectant
MS Internet Explorer, MS Outlook et MS Outlook Express.
Installez maintenant pour protéger votre ordinateur
de ces vulnérabilités, dont la plus grave pourrait
autoriser un attaquant à exécuter du code sur votre système.
Cette mise à jour inclut la fonctionnalité =
de tous les correctifs précédemment publiés.

Configuration requise: Windows 95/98 / Me / 2000 / NT / XP
Cette mise à jour s'applique à:
– MS Internet Explorer, version 4.01 et ultérieure
– MS Outlook, version 8.00 et ultérieure
– MS Outlook Express, version 4.01 et ultérieure

Recommandation: Les clients doivent installer le correctif =
à la première occasion.
Comment installer: Exécutez le fichier joint. Choisissez Oui dans la boîte de dialogue affichée.
Comment utiliser: Vous n'avez rien à faire après l'installation de cet élément.

Signature:

Articles sur les services de support technique Microsoft et articles de la base de connaissances =
peut être trouvé sur le site Web du support technique de Microsoft.
http://support.microsoft.com/

Pour des informations relatives à la sécurité des produits Microsoft, veuillez =
visitez le site Web Microsoft Security Advisor
http://www.microsoft.com/security/

Merci d'utiliser les produits Microsoft.

Merci de ne pas répondre à ce message.
Il a été envoyé à partir d'une adresse e-mail non contrôlée et nous sommes incapables =
répondre à toutes les réponses.

———————————————-
Les noms des sociétés et des produits réels mentionnés =
les présentes sont les marques de commerce de leurs propriétaires respectifs.

Nom de pièce jointe:

patch [nombre aléatoire] .exe
installez [nombre aléatoire] .exe
q [nombre aléatoire] .exe
mettre à jour [nombre aléatoire] .exe

Le contenu réel du corps peut être moins compliqué, en fonction de diverses circonstances.

• Le sujet peut contenir:
  

  Lettre
  Conseiller
  Message
  Annonce
  rapport
  Remarquer
  Punaise
  Erreur
  Avorter
  Échoué
  Utilisateur inconnu

• Le corps peut contenir:
  

  Salut!
  C'est le programme qmail
  Message de [valeur aléatoire]
  Je suis désolé
  Je suis désolé d'avoir à informer que
  J'ai peur
  Je crains de ne pas avoir pu livrer votre message aux adresses suivantes
  le message renvoyé ci-dessous n'a pas pu être livré
  Je n'étais pas en mesure de livrer votre message
  à une ou plusieurs destinations

Dans certains cas, le ver peut envoyer des copies de lui-même sous forme archivée – ZIP ou RAR.

Propagation via Kazaa

Swen se propage via le réseau de partage de fichiers Kazaa en se copiant sous des noms aléatoires dans le répertoire d'échange de fichiers de Kazaa Lite. Il crée également un sous-répertoire dans le dossier Windows Temp avec des noms aléatoires faisant plusieurs copies de lui-même avec des noms aléatoires.

Ce dossier est identifié dans le registre système Windows en tant que contenu local pour le système de partage de fichiers Kazaa.

 HKCUSoftwareKazaaLocalContent dir99 = 012345:% Windir %% temp% nom du dossier 

Par conséquent, les nouveaux fichiers créés par Swen deviennent disponibles aux autres utilisateurs du réseau Kazaa.

Propagation via les canaux IRC

Le ver scanne le client mIRC installé. S'il est détecté, Swen modifie ensuite le fichier script.ini en ajoutant ses procédures de propagation. Sur ce, le fichier scrip.ini envoie le fichier infecté du répertoire Windows à tous les utilisateurs qui se connectent au canal IRC maintenant infecté.

Propagation via LAN

Le ver scanne tous les lecteurs disponibles. S'il trouve un lecteur réseau, il se copie dans les dossiers suivants sous un nom aléatoire:

windowsall usersstart menuprogramsstartup
windowsstart menuprogramsstartup
winmeall usersstart menuprogramsstartup
winmestart menuprogramsstartup
win95all usersstart menuprogramsstartup
win95start menuprogramsstartup
win98all usersstart menuprogramsstartup
win98start menuprogramsstartup
document et paramètresall usersstart menuprogramsstartup
document et settingsdefault userstart menuprogramsstartup
document et settingsadministratorstart menuprogramsstartup
winntprofilesall usersstart menuprogramsstartup
winntprofilesdefault userstart menuprogramsstartup
winntprofilesadministratorstart menuprogramsstartup

Autre

Le ver tente de bloquer le lancement et le travail de divers logiciels anti-virus et pare-feu:

Quand ceux-ci sont lancés, Swen affiche le faux message d'erreur suivant: