Les dernières alertes aux Virus
Alias
P2P-Worm.Win32.Darby.m ou Worm.P2P.Darby.m (Kaspersky Lab) est également connu sous
le nom de:
W32/Darby.worm.m (McAfee) W32.HLLW.Darby
(Symantec) Win32/HLLW.Darby.N (RAV)WORM_DARBY.G
(Trend Micro) Worm/Darby.M (H+BEDV)
Genre: Ver P2P (réseaux de partage)
Status:
Détails techniques
Ce Ver se propage par l'intermédiaire de l'Internet par via les réseaux de partage. Il se propage également par l'intermédiaire des canaux IRC, ressources ouvertes des réseaux, et comme attachement aux messages infectés.
Il s'envoie lui-même aux adresses collectées sur la machine victime.
Le Ver lui-même est un fichier PE .EXE de Windows d'une taille approximative de 141KB, compressé en utilisant UPX. Le fichier une fois décompressé est d'environ 426KB.
Installation
Une fois lancé, le Ver provoque l'affichage du message d'erreur suivant:
Le nom du fichier du Ver sera utilisé afin de donner à l'utilisateur l'impression que le fichier ne peut pas être exécuté.
En s'installant, le Ver se copie dans le répertoire "système" de Windows sous les noms suivants:
%System%\Image0X.scr
%System%\KillUsa.exe
Il crée également plusieurs copies de lui-même dans le répertoire "système" de Windows, en utilisant par exemple des noms aléatoires.
%System%\ISZQ.scr
Le Ver crée un utilitaire PKZIP dans le répertoire "système" sous le nom de "bZip.exe". Celui-ci est d'une taille approximative de 42KB. (îêîëî 42 ÊÁ).
Ceci est employé pour créer des copies d'archives du Ver dans le même répertoire, sous le nom de "GZIP.zip". Ce fichier est d'une taille approximative de 127KB.
Le Ver crée également les fichiers HTML suivants:
%Windir%\microsoftweb.htm
C:\Bardiel.hta
Le Ver enregistre alors ses fichiers dans le système des registres:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"NETCOMMAND503"=""
[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Run]
"NETCOMMAND503"=""
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run"=""
Ceci assure que le fichier du Ver sera chaque fois lancé quand Windows sera rechargé sur la machine victime.
Le Ver modifie les clefs de registres énumérées ci-dessous. Ceci signifie que quand des fichiers avec les extensions bat, com, exe, pif ou scr seront lancés, une copie du Ver sera lancée au lieu de ces fichiers.
[HKCR\batfile\shell\open\command]
[HKLM\Software\Classes\batfile\shell\open\command]
"default"=" %1"
[HKCR\comfile\shell\open\command]
[HKLM\Software\Classes\comfile\shell\open\command]
"default"=" %1"
[HKCR\exefile\shell\open\command]
[HKLM\Software\Classes\exefile\shell\open\command]
"default"=" %1"
[HKCR\piffile\shell\open\command]
[HKLM\Software\Classes\piffile\shell\open\command]
"default"=" %1"
[HKCR\scrfile\shell\open\command]
[HKLM\Software\Classes\scrfile\shell\open\command]
"default"=" %1"
Le Ver modifie également les valeurs suivantes des registres du système pour bloquer les gestionnaires de tâche et les utilitaires de registres:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
[HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Policies\System]
"DisableRegistryTools"="dword:00000001"
"DisableTaskMgr"="dword:00000001"
Propagation via P2P
Le Ver examine la machine victime pour s'assurer qu'un client P2P est installé (edonkey2000, emule, kazaa, morpheus et autres). Il se copie alors dans les répertoires de partage du client et ouvre les répertoires des ressources de réseaux sous les noms suivants:
ACDSee 5.5.exe
Age of Empires 2 crack.exe
Ana Kournikova Sex Video.exe
Animated Screen 7.0b.exe
aol cracker.exe
AOL Instant Messenger.exe
aol password cracker.exe
AquaNox2 Crack.exe
Audiograbber 2.05.exe
AVP Antivirus Pro Key Crack.exe
BabeFest 2004 ScreenSaver 1.5.exe
Babylon 3.50b reg_crack.exe
Battlefield1942_bloodpatch.exe
Battlefield1942_keygen.exe
Britney Spears Sex Video.exe
Buffy Vampire Slayer Movie.exe
Business Card Designer Plus 7.9.exe
cable modem ultility pack.exe
cable modem ultility pack.exe
Clone CD 5.0.0.3 (crack).exe
Clone CD 5.0.0.3.exe
Coffee Cup Free zip 7.0b.exe
Cool Edit Pro v2.55.exe
counter-strike.exe
Crack Passwords Mail.exe
Credit Card Numbers generator(incl Visa,MasterCard,...).exe
Cristina Aguilera Sex Video.exe
delphi.exe
Diablo 2 Crack.exe
DirectDVD 5.0.exe
DirectX Buster (all versions).exe
DirectX InfoTool.exe
divx pro.exe
DivX Video Bundle 6.5.exe
divx_pro.exe
Download Accelerator Plus 6.1.exe
DVD Copy Plus v5.0.exe
DVD Region-Free 2.3.exe
Edonkey2000-Speed me up scotty.exe
FIFA2004 crack.exe
Final Fantasy VII XP Patch 1.5.exe
Flash MX crack (trial).exe
FlashGet 1.5.exe
FreeRAM XP Pro 1.9.exe
Game Cube Real Emulator.exe
GetRight 5.0a.exe
Global DiVX Player 3.0.exe
Gothic2 licence.exe
GTA 3 Crack.exe
GTA 3 Serial.exe
Guitar Chords Library 5.5.exe
Hentai Anime Girls Movie.exe
Hitman_2_no_cd_crack.exe
Hot Babes XXX Screen Saver.exe
HotGirls.exe
Hotmail Hacker 2004 - Xss Exploit.exe
Hotmail Hacker 2004-Xss Exploit.exe
hotmail_hack.exe
ICQ Pro 2004a.exe
ICQ Pro 2004b (new beta).exe
iMesh 3.6.exe
iMesh 3.7b (beta).exe
IrfanView 4.5.exe
Jenifer Lopez Sex Video.exe
KaZaA Hack 2.5.0.exe
Kazaa SDK + Xbit speedUp for 2.xx.exe
KaZaA Speedup 3.6.exe
Links 2004 Golf game (crack).exe
Living Waterfalls 1.3.exe
macromedia dreamweaver key generator.exe
Mafia_crack.exe
Matrix Movie.exe
Matrix Screensaver 1.5.exe
Mcafee Antivirus Scan Crack.exe
MediaPlayer Update.exe
Microsoft KeyGenerator-Allmost all microsoft stuff.exe
mIRC 6.40.exe
mp3Trim PRO 2.5.exe
MSN Messenger 5.2.exe
NBA2004_crack.exe
Need 4 Speed crack.exe
Nero Burning ROM crack.exe
Netbios Nuker 2004.exe
Netfast 1.8.exe
Network Cable e ADSL Speed 2.0.5.exe
NHL 2004 crack.exe
Nimo CodecPack (new) 8.0.exe
Norton Anvirus Key Crack.exe
PalTalk 5.01b.exe
pamela_anderson.exe
Panda Antivirus Titanium Crack.exe
PerAntivirus 8.9.exe
play station emulator.exe
Popup Defender 6.5.exe
Pop-Up Stopper 3.5.exe
PS2 PlayStation Simulator.exe
Quick Time Key Crack.exe
QuickTime_Pro_Crack.exe
Sakura Card Captor Movie.exe
Screen saver christina aguilera naked.exe
Security-2004-Update.exe
Serials 2004 v.8.0 Full.exe
serials2000.exe
Sex Live Simulator.exe
Sex Passwords.exe
SmartFTP 2.0.0.exe
SmartRipper v2.7.exe
Space Invaders 1978.exe
Spiderman Movie.exe
Splinter_Cell_Crack.exe
Starcraft serial.exe
Start Wars Trilogy Movies.exe
Steinberg_WaveLab_5_crack.exe
Stripping MP3 dancer+crack.exe
subseven.exe
Thalia Sex Video.exe
The Hacker Antivirus 5.7.exe
Trillian 0.85 (free).exe
TweakAll 3.8.exe
Unreal2_bloodpatch.exe
Unreal2_crack.exe
UT2004_bloodpatch.exe
UT2004_keygen.exe
UT2004_no cd (crack).exe
UT2004_patch.exe
VB6.exe
virtua girl - adriana.exe
virtua girl - bailey short skirt.exe
Virtua Girl (Full).exe
VirtualSex.exe
Visual Basic 6.0 Msdn Plugin.exe
Visual basic 6.exe
warcraft 3 crack.exe
warcraft 3 serials.exe
WarCraft_3_crack.exe
Winamp 3.8.exe
winamp plugin pack.exe
WindowBlinds 4.0.exe
Windows XP complete + serial.exe
Windows Xp Exploit.exe
WinOnCD 4 PE_crack.exe
WinRar 3.xx Password Cracker.exe
WinZip 9.0b.exe
winzip full version key generator.exe
Winzip KeyGenerator Crack.exe
WinZipped Visual C++ Tutorial.exe
XNuker 2004 2.93b.exe
Yahoo Messenger 6.0.exe
Zelda Classic 2.00.exe
Ceci signifie que d'autres utilisateurs du client P2P pourront accéder aux fichiers infectés.
Propagation via email
Le Ver collecte des adresses email de la machine victime. Les adresses collectées sont archivées dans les fichiers suivants:
%Temp%\bh.dat
%Temp%\bl.dat
%Temp%\bm.dat
Le Ver emploie sa propre bibliothèque SMTP pour envoyer les messages infectés.
Messages infectés:
Sujet du message:
(choisi à partir de la liste ci-dessous)
100% Ideal
Amor y Sexo
do you Know if they lie you?
Fotos en tu email
HackHotmail
Looks at the picture
Mail Delivery Return System
Manual de Seduccion
Message
Mi Album
Mira la foto
MORE Drawings
New Registry
No Adware
NoMentir
Nuevo Registro
Pictures in your email
Planet PlayBoy
Planeta PlayBoy
PornStars Show
ReturnMsg
Sex Tantrico Images
Sexo Tantrico Images
Ten commandments give the Love and Sex
Test Here
Virtual Card
you Have a Mensage
you have a Virtual Gift
Your Name
Corps du message:
(choisi à partir de la liste ci-dessous)
Debido a las reformas del servidor, se pide a los usuarios
completar el nuevo registro a fin de validar sus cuentas y no sean
suspendidas. Atentamente AdminSystem
due to the reformations he/she gives the servant, it is asked the
users to complete the new registration in order to validate their
you count and don't be suspended. Sincerely AdminSystem"
Este es un test usado por el ejercito de estados unidos al reclutar
soldados, para en palabras simples medir cuan propensos a la locura
son, hacelo y ve cuan zafado estas.
he/she looks at the image 30 second and then he/she looks to another
part and truth at something surprising (good optic illusion, almost
hallucination)
Hello, you don't know me, but I ship you something that interested you,
God willing it is you gives utility, bye
I ship You the info that you requested me, responds that such this, bye
Looks at this scrensaver gives the actresses he/she gives the
cinema porn
mira la imagen 30 segundos y luego mira a otra parte y veras algo
sorprendente ......(buena ilusion optica, casialucinacion)
Osama Ben Laden the man that I declare the War to United States
Se te cambia la pagina de inicio?, te salen ventanas de publicidad,
problemas con dialers, troyanos u otros adwares, prueba este programa
gratis y acabemos con la lacra que es el Adware.
The best pictures give PlayBoy gives this year, it passes them ;)
The corporal language accuses the lie subtly, 5 tips to know if they
are telling you e truth.
The names and the last names like all word have a meaning, the one
which already in most he/she gives times or we don't remember, perhaps
find the meaning he/she gives yours in our database:)
there is an available card for you on behalf of a friend. discharge
it or enters to the link:)
they have sent You a virtual Gift, this available one during 7 days,
discharge it or enters to the link:)
to Maintain a healthy loving relationship and upper demands a lot of
effort and many desires, we give you these 10 keys
you Know that it means the form gives to kiss or that types and techniques
exist, know them
you Want to improve your success with the opposite sex, search keeps an eye
on this text. that has useful advice.
Nom de la pièce-jointe:
(choisi à partir de la liste ci-dessous)
10Claves.zip
16Playboy.zip
CrazyTest.zip
CwshredderPlus.zip
Drawings.zip
E-Card.zip
EL-Card.zip
FuckSanta.zip
Gusanito.com
HackHotmail.zip
Ideal.zip
Kiss.zip
Lie.zip
NoMentir.zip
Ph0t0.zip
Photo.zip
PornStars.zip
Registro.zip
Registry.zip
ReturnMsg.zip
Seduc.zip
Sex_Tantra.zip
SigName.zip
TestRayado.zip
TuFuturo.zip
videoClip.zip
Virtual0034.zip
xImages.zip
Propagation via les canaux IRC
Le Ver récrira les fichiers énumérés ci-dessous afin d'envoyer des copies de lui-même aux utilisateurs dans le même canal IRC que la machine victime:
%ProgramFiles%\mIRC\script.ini
%ProgramFiles%\mIRC32\script.ini
Payload
Le Ver termine les processus actifs où les noms des processus contiennent les chaines de textes suivantes:
ate32class
adaware
advxdwin
auto-protect
alogserv
anti-trojan
avsched32
avconsol
ackwin32
autodown
antivir
avsynmgr
avrep32
atupdater
atwatch
autotrace
aplica32
atro55en
aupdate
autoupdate
avrescue
avltmain
backweb
blackice
bd_professional
bidserver
bootwarn
buscareg
claw95ct
cfiaudit
cfiadmin
cmgrdian
cleanpc
cmon016
cpf9x206
cpfnt206
csinject
csinsm32
css1631
cwnb181
cwntdwmo
ccevtmgr
ccpxysvc
defwatch
defalert
drwatson
drweb32
drwebupw
efinet32
espwatch
efpeadm
etrustcipe
ecengine
findviru
f-agnt95
f-stopw
filemon
fameh32
flowprotector
fp-win_trial
generics
hacktracer
icssuppnt
icsupp95
iomon98
ifw2000
iparmor
kavlite
lookout
lockdown
lucomserver
ldpromenu
ldnetmon
localnet
mpftray
moolive
msconfig
monitor
mcmnhdlr
mcupdate
mcvsrte
minilog
mcvsshld
mpfservice
mcshield
mfweng3
msinfo32
mssmmc32
mu0311ad
nspclean
nupgrade
nwtool16
normist
nisserv
nsched32
neowatchlog
nvsvc32
nwservice
ntxconfig
npscheck
netutils
notstart
ncinst4
netarmor
netinfo
netspyhunter
netstat
nvarch16
nvlaunch
nwinst4
nvapsvc
outpost
offguard
ostronet
procexp
pcfwallicon
programauditor
pop3trap
poproxy
pcntmon
pview95
pqremove
pfwagent
prebind
pcdsetup
pcip10117_0
pfwadmin
portdetective
ppinupdt
ppvstop
procexplorerv1
proport
protect
pccntmon
qconsole
qserver
rtvscn95
rulaunch
regedit
regedt32
realmon
stinger
safeweb
symproxysvc
symtray
ss3edit
swnetsup
schedapp
setupvameeval
setup_flowprotector_us
sgssfw32
shellspyinstall
srwatch
supftrl
supporter5
sysdoc32
sysedit
sharedaccess
taskmon
tauscan
titanin
tmntsrv
undoboot
vshwin32
vsecomr
vbcmserv
vir -help
vettray
vcontrol
vccmserv
vcsetup
vfsetup
vnlan300
vnpc3000
vpfw30s
vscenu6
vsisetup
wfindv32
wimmun32
webtrap
watchdog
wradmin
w32dsm89
whoswatchingme
winrecon
winroute
winsfcm
wsbgate
zonealarm
zatutor
zonestub
zlclient
zauinst
zonalm2601
taskmgr
Le Ver peut également télécharger des fichiers à partir des serveurs énumérés ci-dessous sans que l'utilisateur en est connaissance ou est consentit.
http://hosting.m***at.com/interserv7
http://interserv1.thefr***izhost.com
http://interserv10.i***tworx.de
http://interserv6.m***tespace.com
http://interserv9.t**.com
Source de ces renseignements :
Copyright © 1996 - 2005 Kasperky Lab
http://www.viruslist.com
ANTI-TROJAN.INFO - ©2004 - 2005 [CONTACT ANTI-
TROJAN]
