CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Net-Worm.Win32.Randon

Classe Net-Worm
Plateforme Win32
Description

Détails techniques

Randon est un Virus-Worm distribué via des canaux IRC et des LAN avec des ressources partagées.

Lorsqu'il est exécuté, ce ver installe ses composants dans le sous-répertoire zxz et / ou zx du répertoire système Windows et enregistre son fichier principal et le client mIRC dans la clé d'exécution automatique du registre Windows (ci-dessous):

HKLM SoftwareMicrosoftWindowsCurrentVersionRunupdateWins

Randon exécute ensuite la clé ci-dessus et masque le processus via l'utilitaire HideWIndows . Randon se connecte au serveur IRC et exécute ses scripts. En plus des attaques DDoS et de l'inondation des canaux IRC, Randon analyse le port 445 d'autres clients IRC.

Distribution
Lors de la détection d'un port ouvert (445), le ver exécute les fichiers batch sencs.bat et incs.bat qui tentent de localiser les ressources ouvertes sur l'ordinateur distant et de s'y connecter en utilisant l'un des mots de passe suivants:

"admin", "administrateur", "root", "admin", "test", "test123", "temp", 
"temp123", "passe", "mot de passe", "changeme"  
 

Si une connexion réussit, le ver ouvre une socket sur le port 445, transfère le cheval de Troie TrojanDownloader.WIn32.APher.gen et l'exécute. Ce cheval de Troie télécharge une archive auto-extractible de la version 'complète' du ver à partir de "www.q8kiss.net" et l'installe dans le système.

Information additionnelle
Le ver Randon est composé des éléments suivants:

Deta.exe – Utilitaire HideWindows (fichier WIN32 exe)
fControl.a – un script IRC (analyse de port et ordinateurs distants d'infection)
IfCOntrol.a – un script IRC (inondation des canaux IRC et attaques DDoS (pinging différentes adresses))
incs.bat – Fichier BATCH (mot de passe des ressources LAN)
Libparse.exe est l'utilitaire "PrcView" (fichier EXE Win32)
psexec.exe est un utilitaire "PsExec" (fichier EXE Win32)
rcfg.ini – Fichier IRC INI (chargement d'autres scripts)
rconnect.conf – fichier de configuration
reader.w – liste des pseudonymes utilisés par ver pour établir une connexion avec les canaux IRC
Sa.exe – TrojanDOwnloader.Win32.Apher
scontrol.a – script IRC d'aide.
sencs.bat – Fichier BAT (ce fichier est transféré sur l'ordinateur distant pour effectuer l'exécution de TrojanDownloader)
systrey.exe – client mIRC renommé (fichier EXE Wind32).


Lien vers l'original