CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Net-Worm.Win32.Kolab

Date de la détection 04/13/2011
Classe Net-Worm
Plateforme Win32
Description

La totalité de la charge utile du ver est exécutée via un code qui est injecté dans l'espace adresse du processus "EXPLORER.EXE". La charge utile n'est pas exécutée si l'une des conditions suivantes est remplie:

  • La branche suivante est manquante dans le registre système:
     [HKCUControl PanelPowerCfgPowerPolicies] 
  • Le nom du compte de l'utilisateur actuel est:
     NOM D'UTILISATEUR
    
    
    
    utilisateur
    
    
    
    NOM DE L'ORDINATEUR
    
    
    
    Utilisateur actuel
    
    
    
    
  • Les bibliothèques suivantes sont chargées dans l'espace d'adressage du ver:
     SbieDll.dll
    
    
    
    dbghelp.dll
    
    
    
    api_log.dll
    
    
    
    dir_watch.dll
    
    
    
    pstorec.dll
    
    
    
    
  • Le fichier original du ver a été sauvegardé dans le système comme:
    
    
    
    c: fichier.exe 

    Après avoir injecté le code malveillant via le processus "EXPLORER.EXE", les actions suivantes sont effectuées:

  • Pour s'assurer que le processus est unique dans le système, un identifiant unique est créé, qui est nommé:
  • Pour fournir l'accès au système infecté, le tube nommé suivant est créé:
     .piperrreokdirjiurururr 
  • Une connexion est établie avec le serveur de l'utilisateur malveillant:
    
    
    
    di *** ind.cn
    
    
    
    Ant *** tition.com
    
    
    
    fre *** unge.com
    
    
    
    

    Suite à une commande de l'utilisateur malveillant, le ver peut effectuer les actions suivantes sur l'ordinateur infecté:

    • Organisez une attaque DoS sur des serveurs spécifiés.
    • Télécharger les fichiers à partir des liens qui lui sont envoyés. Les fichiers téléchargés sont enregistrés dans le répertoire de fichiers temporaires de l'utilisateur actuel "% Temp%" en utilisant des noms aléatoires.
    • Télécharger la version mise à jour du ver à partir du serveur de l'utilisateur malveillant.
    • Analyser les fichiers de paramètres pour ces navigateurs:
      
      
      
      Mozilla Firefox
      
      
      
      Internet Explorer
      
      
      
      Google Chrome
      
      
      
      Opéra
      
      
      
      

      dans le but de voler les mots de passe enregistrés en eux.

    • Voler et modifier les cookies du navigateur. Pour ce faire, le ver utilise le module "sqlite" intégré au navigateur Mozilla Firefox.
    • Les actions décrites dans les sections "Installation" et "Propagation". Le ver effectue des échanges avec le serveur de l'utilisateur malveillant via des messages du type suivant:
      
      
      
      Balayage arrêté
      
      
      
      Scan en cours
      
      
      
      Scan commencé
      
      
      
      Données KB envoyées: <numéro>
      
      
      
      Paquets SYN envoyés: <numéro>
      
      
      
      Inondation
      
      
      
      inondation arrêtée: <chaîne>
      
      
      
      flooding: <chaîne>
      
      
      
      Lecteur infecté: <chaîne>
      
      
      
      Épandeur USB en cours d'exécution
      
      
      
      P2P Copier dans: <chaîne>
      
      
      
      Spreader MSN en cours d'exécution
      
      
      
      Diffusion MSN démarrée, lien: <chaîne> Lien MSN envoyé
      
      
      
      
    • Par commande de l'utilisateur malveillant, il est également possible de substituer le fichier "hosts":
       % System% driversetchosts 

      Au moment de l'écriture, le serveur de l'utilisateur malveillant ne répondait pas.


Lien vers l'original