banner a²
::::: WWW.ANTI-TROJAN.INFO ::::: E-mail: at@anti-trojan.info ::::: Site Infos Malwares :::::
Dernière Alerte!

Ver Bagle.AS
et
JPEG Exploit!
Faire au plus vite une mise à jour chez microsoft

Très dangeureux
Propagation très grande

À propos de a²
a² est un Scanner de Malware de la nouvelle génération, qui protège votre Computer des Malwares. Malware désigne Trojans, Backdoors, Vers, Virus et autres softwares dangereuses pour votre ordinateur. a² vous propose 5-Composants pour la sécurité, qu'aucun autre produit vous propose:Scanner de fichiers, Gardien d'arrière plan avec IDS, Advanced IDS qui découvre aussi les Malwares non connu, System-Firewall qui surveille les actions des programmes et l'Analyse-Tools qui vous aide à garder propre votre ordinateur.
En lire plus pfeil_right
Attention au Ver

Ver Mydoom.S
Propagation très grande


IM-Worm.Win32.Bropia.ad - dernières alertes


 

Les dernières alertes aux Virus


Alias
IM-Worm.Win32.Bropia.ad (Kaspersky Lab)

est également connu sous le nom de:

W32/Kelvir.worm.gen (McAfee)
W32.Kelvir (Symantec)
WORM_BROPIA.W (Trend Micro)
Worm/Bropia.AD (H+BEDV)


Genre: Ver IM

Détails techniques

Ce Ver est écrit en Visual Basic et a normalement deux composants: le Ver-IM lui-même, et une variante du Backdoor.Win32.Rbot qui est incorporé dans le fichier. Le Backdoor est habituellement compressé avec UPX et morphine. Il sera détecté comme étant le Backdoor.Win32.Rbot.gen

Le Ver est à une taille de 188.416 bytes. Le Backdoor incorporé dans le fichier du Ver est d'une taille de 86.528 bytes, et approximativement de 1.23mb une fois décompressé.

Installation

Ce Ver est plus susceptible d'arriver comme téléchargement d'un P2P ou comme lien via MSN Messenger.

Quand le fichier est exécuté, le Ver se copie dans le répertoire "system" sous le nom de "msnadp32.exe". Il se copie également dans le répertoire de partage de nombreuses applications P2P.

Le Backdoor est laissé également dans C:\tmpdata sous le nom de "ImSexy.exe". Une fois qu'il est exécuté il se laisse dans %sysdir%\pwmgr.exe et supprime "ImSexy.exe".

Le Ver ajoute une clef dans le système de registres pour assurer qu'il sera exécuté au démarrage de Windows.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
MSN Administration For Windows="msnadp32.exe"

Le Backdoor ajoute aussi des clefs dans le système de registres pour assurer qu'il sera également exécuté au démarrage de Windows.

[HKEY_USERS\S-1-5-21-1482476501-162531612-839522115-100\Software\Microsoft\OLE\]
WinPWD Manager="pwmgr.exe"

[HKEY_USERS\S-1-5-21-1482476501-162531612-839522115-1003\Software\Microsoft\Windows\
CurrentVersion\Run\]
WinPWD Manager="pwmgr.exe"

[HKEY_USERS\S-1-5-21-1482476501-162531612-839522115-1003\Software\Microsoft\Windows\
CurrentVersion\RunServices\]
WinPWD Manager="pwmgr.exe"

[HKEY_USERS\S-1-5-21-1482476501-162531612-839522115-1003\SYSTEM\CurrentControlSet\Control\Lsa\]
WinPWD Manager="pwmgr.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\]
WinPWD Manager="pwmgr.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
WinPWD Manager="pwmgr.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]\WinPWD
Manager="pwmgr.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\]WinPWD Manager="pwmgr.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\]WinPWD Manager="pwmgr.exe"

La Charge

Le Ver est efficacement employé pour propager le Backdoor Rbot. Cette variante du Backdoor Rbot a beaucoup de fonctions, incluant: réception et exécution des fichiers, keylogging, agit en tant que FTP-SERVER, Proxy Server, scanne de Ports, conduit des attaques DDoS, capture d'écrans et de webcams, et propagation dans tous les réseaux en employant des exploits et des dictionary attaques.

Il a également la capacité de voler des clefs de CD pour un certain nombre de jeux populaires de PC.

le fichier "host" situé dans %sysdir%\drivers\etc sera remplacé. Ceci empêche la machine infectée d'accéder à toute une gamme de sites de sécurité.

Propagation

Le Ver envoie des messages à toutes les adresses de la liste de contact du MSN. Les messages incluent un lien à un fichier .php malveillant; ce lien contient l'addresse email du destinataire. Une fois que le destinataire clique sur le lien, leur addresse email sera collecté, et pourra être employé par des spammers.

[nickname] says:
lmao you dumbass!

[nickname] says:
http://freebuddyicons.[censored].php?user=[recipient's email address]

Bropia envoie ces deux phrases avec un intervalle afin de maximiser les chances pour que le destinataire clique sur ce lien.

Le Ver emploie également les réseaux P2P pour se propager. Il se copie dans le répertoire de partage de nombreuses applications P2P en utilisant les noms de fichiers suivants:

Adult ID Check.exe
Aim Flooder.exe
Aim Hacker.exe
AIMHacks.exe
Anarchist CookBook.exe
AVPDVDRip.mpg.exe
BF1942FULL.exe
BFVietnam.exe
BigBoobs.exe
BigBoobsXXX.exe
Britney XXX.exe
broadband wizard.exe
cable accelerator.exe
cable uncapper.exe
CallofDutyFULL.exe
CoolGames.exe
Cool_Games.exe
CounterStrike.exe
CounterStrikeSOURCE.exe
CounterStrikeSourceFULL.exe
Cracker Game.exe
Cracks Collections.Exe
Credit Card.exe
Delphi6 Keygen.exe
DOOM3_FULL.exe
DownLoad Accelerator Plus.exe
Dreamcast BootDisc.exe
Dropitlikeitzhot.exe
DVDRipper.exe
Easy CD Creator 5.exe
email hacker.exe
exeeenSaver.exe
F-ProtAV-Full.exe
FBISecretDocuments.exe
FTP Commander.exe
Ftp Cracker.exe
Ftp Hacker.exe
FuckedHARDXXX.exe
Gladiator (Movie) - Full Downloader.exe
GTAViceCity.exe
Hacker Kit.exe
Hacker.exe
HackingWebpage.exe
HackingWindowsXP.exe
HackingXP.exe
HalfLife2FULL+Crack.exe
HalfLife2FULL.exe
Halflife2KeyGen.exe
HalfLife2_FULL.exe
Hotmail Account Hacker.exe
Hotmail Hack.exe
Hotmail Hacker.exe
Hotmail Password Cracker.exe
HotmailHackerKit.exe
How-to-Hack.exe
HowtoHack.exe
Icq Ad Remover.exe
Icq Banner Remover.exe
ICQ Hack.exe
icq hacker.exe
icq ip patch.exe
Ident Faker.exe
Ident Spoofer.exe
IE6 Final.exe
InDaClub.exe
irc flooder.exe
IRobotDVDRip.mpg.exe
Jasc Paint Shop Pro 7 (Full).exe
JeniferLopezNUDE.exe
Johnny English (Movie) - Full Downloader.exe
Kazaa ad remover.exe
LanGuard NetScan.exe
Linux RootKit.exe
Matrix Reloaded.exe
McafeeAntiVirus.exe
MedalofHonorPacificAssultFULL.exe
Microsoft Office Full.exe
MiddleSchoolPornXXX.exe
Mirc6 Full.exe
mirc6 keygen.exe
Mp3 Maker Pro.exe
mp3 to wav full.exe
Msn Hacker.exe
MSN Messenger Password Stealer.exe
MS_Frontpage.exe
NeroBurningRom 6.exe
Norton AntiVirus Full.exe
Norton Keygen-All Vers.exe
NortonAntirVirus2005FULL.exe
NortonAntiVirus2005FULL.exe
NortonPersonalFirewallFULL.exe
NudeCheerleaders.exe
OfficeXP sp2 express.exe
PasswordCrackers.exe
PCChillen.exe
pE packer.exe
Peck.exe
PhotoShopCS8.0_Crack.exe
PipeBombTutorial.exe
PreTeenBlowJob.exe
PreTeenSEX.exe
PreTeenXXX.exe
PS1 BootDisc.exe
PS2 BootDisc.exe
PSXCopy Full.exe
Salford.exe
Serials 2k.exe
Serials Collections.exe
SexyChickXXXHarcore.exe
SexyTeen.exe
Simpsons.exe
SluttyCheerleaders.exe
SohposAntiVirusFULL.exe
Sopohs_Anti_Virus.exe
SpywareKiller.exe
SteelCap.exe
StylesXP.exe
Sub7 Master Password.exe
Sub7 Remover.exe
SwordFish (Movie) - Full Downloader.exe
SxyTeenagePorn.exe
SxyTeenageSEX.exe
SxyTeenFuckedHARD.exe
SxyTeenGetsItuptheASS.exe
TeenSexHardcore.exe
Trillian Patcher.exe
Trillian Pro Full.exe
Trojan Remover.exe
uin2ip.exe
VS.Net Patcher.exe
Wadle.exe
WallPapersXXX.exe
webpage hacker.exe
WebpageHackingTools.exe
WebRootSpySweeper.exe
Westdene.exe
Win Proxy.exe
Win Shares Cracker.exe
Win-RAR-FULL+CRACK.exe
Win-RAR-FULL.exe
Win98 Hacker.exe
WinXP Keygen.exe
WinXPHacking.exe
www hacker kit.exe
XPHackes.exe
xxx exeeensaver.exe
XXX Virtual Sex.exe
XXXCollection.exe
XXXHighSchoolSluts.exe
XXXMagaPack.exe
XXXTeenSexXXX.exe
XXXWallpaperCollection.exe
Yahoo Hacker.exe
Zip_RAR_PWCracker.exe
ZoneAlarm Pro Full.exe
ZoneAlarm.exe

 

Source de ces renseignements :

Copyright © 1996 - 2005 Kasperky Lab http://www.viruslist.com

 

 

ANTI-TROJAN.INFO - ©2004 - 2005 [CONTACT ANTI- TROJAN]

 

 

ANTI-TROJAN.INFO - ©2004 - 2005 [CONTACT ANTI- TROJAN]