CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Worm.Win32.Fipp

Date de la détection 07/10/2012
Classe Worm
Plateforme Win32
Description

En infectant le système hôte:

  • Lorsque le logiciel malveillant s'exécute pour la première fois, il recherche
     % system32% wmicuclt.exe et% system32% wscript.exe 

    . Une fois trouvé, il va infecter les fichiers originaux en ajoutant une partie de malware dans la dernière section de fichier (voir la méthode d'infection ci-dessous);

  • Crée le service "Remote Access Connection Service" sous
    
    
    
    HKLMSystemControlSetServices (ainsi que d'autres ControlSets). 

    La chaîne "ImagePath" pointera vers le fichier infecté dans% system32% wmicuclt.exe;

  • Crée une nouvelle valeur sous HKLMSystemSelect. Le nom de la valeur peut être "rtm" ou "v". HKLMSystemSelect est utilisé par Windows OS pour stocker les informations de démarrage. Le chargeur de système d'exploitation lit la configuration de démarrage Current / Default / failed / LastKnownGood lors du chargement du système d'exploitation. Le logiciel malveillant utilise la clé de registre pour se stocker lui-même ou des données spécifiques de virus à cet emplacement;
  • Injecte le code dans
     SVCHOST.EXE, LSASS.EXE 
  • Évite d'infecter les dossiers suivants:
     "Windows", "winnt", "s", "qq", "Outlook", "Informations sur le volume système", 
    
    
    
    "Recycler", "InternetExplorer", "Messenger", 
    
    
    
    "Fichiers communs" 
  • Recherche les paramètres d'accès WOW64, SQSh, Srh s'ils sont installés sur le système hôte;
  • Si une session distante est détectée (vers l'hôte infecté), elle tentera d'accéder au lecteur distant en exécutant la commande client Windows " tsclient $ c" et infectera les fichiers * .exe. En conséquence, l'hôte de connexion sera également infecté;
  • Infecte les fichiers sur l'hôte distant
    
    
    
     "Admin $" system32wmicuclt.exe, 
    
    
    
     "Admin $" system32wscript.exe
    
    
    
    
  • Mappe les lecteurs distants via remotehostipc $

URL distante:

  • Le ver peut se connecter aux URL contenant les sous-chaînes "ppift", "ppns" dans un nom de site Web;

Quand il infecte les fichiers, il fait ce qui suit:

  • Il recherche les dossiers partagés sur l'ordinateur infecté et infecte tous les fichiers * .exe qu'il trouve;
  • Si l'accès à un dossier partagé nécessite des informations d'identification, il tente de forcer les comptes d'utilisateur et les mots de passe. Ce ne sont que quelques variantes:
     "Admin" / "678", "admin" / "1qaz2wsx", "utilisateur" / "1", "test" / "1", 
    
    
    
    "test" / "321" 

    et d'autres combinaisons de mots de passe simples pour les comptes ou les mots de passe tels que

     "1234", "56", "qwert", "letmein", "secret", "rockyou", "iloveyou", 
    
    
    
    "root", "super", "princesse", "alpha", "Patrick", "temp", 
    
    
    
    "P @ ssW0rd" 

    . et beaucoup d'autres mots à la mode;

  • Quand il infecte un fichier, il s'ajoute à la fin du fichier hôte d'origine, à la dernière section du fichier. Il modifie l'en-tête du fichier en écrivant le mot-clé "PPIF" au décalage 0x28h à partir du début du fichier;
  • Le nouveau fichier a une taille de 47 872 octets supérieure à l'original.

Comment cela désactive les applications AV

  • Lorsqu'il est exécuté sur l'hôte infecté, il recherche les processus avec les mots suivants dans le nom du processus:
     "F-Secure", "IKARUS-GuardX", "360sd", "360Tray", "WP", "ShStatEx", 
    
    
    
    "Sophos AutoUpdate Monitor", "AVP", "AVG_TRAY", "egui", 
    
    
    
    "G Data Antivirus", "BitDefender AntiVirus",
    
    
    
    "Trende Micro Client Framework", "kxesc", "avgnt", 
    
    
    
    "RAvTray", "DWIN"; 
  • Une fois trouvée, elle recherchera une entrée de registre, la supprimera et redémarrera le système immédiatement. Après le redémarrage, le système ne pourra pas démarrer le produit AV car il n'y a pas d'entrée de service.

Lien vers l'original