Inscriptions | Discussions | Enquêtes | Plan du Site




Toutes les Menaces

Virus

Hackers

Spams
Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
News
Glossaire


Environnement du Malware
Descriptions du Malware
Qui se cache derrière le Malware
Historique du Malware
Tendances du Malware
Si votre ordinateur est infecté

 
Recherche Description Malware

 

  Home / Virus / Encyclopédie Virus / Descriptions du Malware / Vers de réseau / Vers de Messagerie

Email-Worm.Win32.Nyxem.e

Detection added 17 Jan 2006
Update released 24 Jan 2006 14:02 GMT
Description added 25 Jan 2006
CME-ID CME-24
Comportement Email-Worm, ver de messagerie

Détails Techniques

Ce ver se propage par Internet sous forme de pièce jointe attachée à des messages infectés, et par réseaux ouverts.

Il s'envoie aux adresses email collectées sur la machine victime.

Le ver est un fichier PE EXE écrit en Visual Basic et compressé sous UPX. Le fichier compressé est d'environ 95 Ko et le fichier décompressé de 176 Ko.

Installation

Une fois exécuté, et tout en masquant son fonctionnel principal, le ver crée et ouvre une archive ZIP dans le répertoire Windows. L'archive ZIP a le même nom que le fichier exécutable d'origine :

%System%\Sample.zip

Pendant l'infection, le virus se copie lui-même dans le répertoire racine de Windows (C:\Windows), le répertoire système de Windows (C:\Windows\System ou \System32, ceci dépend de la version du Windows utilisé) et dans les répertoires de démarrage sous les noms suivants:

%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
%Windir%\rundll16.exe

Le ver s'enregistre dans le registre système, afin qu'il soit exécuté à chaque fois que Windows est démarré sur la machine victime:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "ScanRegistry"="scanregw.exe /scan"

Le ver modifie également les clés de registre suivantes:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
 "WebView"="0"
 "ShowSuperHidden"="0"

Diffusion par email

Le ver collecte des adresses depuis des fichiers aux extensions suivantes:

dbx
eml
htm
imh
mbx
msf
msg
nws
oft
txt
vc

Il scanne également les fichiers dont les noms comportent le texte suivant :

content
temporary

Lorsqu'il envoie des messages infectés, le ver tente d'établir une connexion directe avec le serveur SMTP destinataire.

Messages infectés

Objet du message:

  • *Hot Movie*
  • A Great Video
  • Arab sex DSC-00465.jpg
  • eBook.pdf
  • Fuckin Kama Sutra pics
  • Fw:
  • Fw: DSC-00465.jpg
  • Fw: Funny :)
  • Fw: Picturs
  • Fw: Real show
  • Fw: SeX.mpg
  • Fw: Sexy
  • Fwd: Crazy illegal Sex!
  • Fwd: image.jpg
  • Fwd: Photo
  • give me a kiss
  • Miss Lebanon 2006
  • My photos
  • Part 1 of 6 Video clipe
  • Photos
  • Re:
  • Re: Sex Video
  • School girl fantasies gone bad
  • The Best Videoclip Ever
  • You Must View This Videoclipe!

Corps du message:

  • ----- forwarded message -----
  • >> forwarded message
  • forwarded message attached.
  • Fuckin Kama Sutra pics
  • hello, i send the file. Bye
  • Hot XXX Yahoo Groups
  • how are you? i send the details.
  • i attached the details. Thank you.
  • i just any one see my photos. It's Free :)
  • Note: forwarded message attached. You Must View This Videoclip!
  • Please see the file.
  • Re: Sex Video
  • ready to be FUCKED ;)
  • The Best Videoclip Ever
  • VIDEOS! FREE! (US$ 0,00)
  • What?

Nom de la pièce jointe:

  • 007.pif
  • 04.pif
  • 3.92315089702606E02.UUE
  • 677.pif
  • Attachments[001].B64
  • document.pif
  • DSC-00465.Pif
  • DSC-00465.pIf
  • eBook.PIF
  • eBook.Uu
  • image04.pif
  • New_Document_file.pif
  • Original Message.B64
  • photo.pif
  • School.pif
  • SeX.mim
  • WinZip.BHX
  • Word_Document.hqx
  • Word_Document.uu

Diffusion par réseau ouvert

Le ver se copie dans le réseau suivant sous le nom de Winzip_TMP.exe:

ADMIN$
C$

Autre

Si le ver détecte une des valeurs de registre suivantes sur la machine victime alors, il la supprime:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
APVXDWIN
avast!
AVG7_CC
AVG7_EMC
AVG7_Run
AVG_CC
Avgserv9.exe
AVGW
BearShare 
defwatch
DownloadAccelerator
kaspersky
KAVPersonal50
McAfeeVirusScanService
NAV Agent
OfficeScanNT Monitor
PCCClient.exe
pccguide.exe 
PCCIOMON.exe
PccPfw
Pop3trap.exe
rtvscn95
ScanInicio
SSDPSRV
TM Outbreak Agent
tmproxy
Vet Alert
VetTray 
vptray
NPROTECT
ccApp
ScriptBlocking
MCUpdateExe
VirusScan Online
MCAgentExe
VSOCheckTask
McRegWiz
CleanUp
MPFExe
MSKAGENTEXE
MSKDetectorExe
McVsRte

Le ver interrompt également certaines applications si le nom de cette dernière correspond à un des noms suivants:

kaspersky 
mcafee 
norton 
removal 
scan 
symantec 
trend micro 
virus 
fix

Il supprimer tous les fichiers contenus dans les dossiers suivants:

%ProgramFiles%\DAP\*.dll 
%ProgramFiles%\BearShare\*.dll 
%ProgramFiles%\Symantec\LiveUpdate\*.* 
%ProgramFiles%\Symantec\Common Files\Symantec Shared\*.* 
%ProgramFiles%\Norton AntiVirus\*.exe 
%ProgramFiles%\Alwil Software\Avast4\*.exe 
%ProgramFiles%\McAfee.com\VSO\*.exe 
%ProgramFiles%\McAfee.com\Agent\*.* 
%ProgramFiles%\McAfee.com\shared\*.* 
%ProgramFiles%\Trend Micro\PC-cillin 2002\*.exe 
%ProgramFiles%\Trend Micro\PC-cillin 2003\*.exe 
%ProgramFiles%\Trend Micro\Internet Security\*.exe 
%ProgramFiles%\NavNT\*.exe 
%ProgramFiles%\Morpheus\*.dll 
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl 
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe 
%ProgramFiles%\Grisoft\AVG7\*.dll 
%ProgramFiles%\TREND MICRO\OfficeScan\*.dll 
%ProgramFiles%\Trend Micro\OfficeScan Client\*.exe 
%ProgramFiles%\LimeWire\LimeWire 4.2.6\LimeWire.jar

Toutes ces actions rendent la machine vulnérable à d'éventuelles attaques ultérieures.

Il peut également télécharger ses propres mises à jour depuis Internet à l'insu de l'utilisateur.

Il bloque le fonctionnement de la souris et du clavier.

Le 3 de chaque mois, 30 minutes après que la machine victime ait démarrée, le ver réécrira les fichiers aux extensions suivantes:

.doc 
.xls 
.mdb 
.mde 
.ppt 
.pps 
.zip 
.rar 
.pdf 
.psd 
.dmp

Les fichiers corrompus par le ver présente le texte suivant:

DATA Error [47 0F 94 93 F4 F5]
Conseils pour la suppression
  1. Démarrez votre ordinateur en mode sécurité (Safe Mode) - appuyez sur F8 et tenez appuyé pendant que l'ordinateur démarre puis choisissez Safe Mode dans le menu lorsqu'il apparait.
  2. Dans le gestionnaire des tâches (Task Manager), fermez tout processus possédant un des noms suivants: 
    rundll16.exe
scanregw.exe
Update.exe
Winzip.exe
WINZIP_TMP.EXE 
New WinZip File.exe
WinZip Quick Pick.exe
  3. Supprimez manuellement les fichiers suivants dans les répertoires racine et système et dans le registre système de Windows: 
    %Windir%\rundll16.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE 
%System%\New WinZip File.exe
%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
  4. Supprimez la valeur suivante dans le registre système: 
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry" = "scanregw.exe /scan"
  5. Redémarrez votre ordinateur et vérifiez que vous avez supprimé tous les messages infectés dans tous les dossiers de messagerie.
  6. Si une application a été endommagée (dans la plupart des cas il s'agit des solutions antivirus et des pare-feux) il vous faudra la réinstaller.
  7. Effectuez un scanning complet de votre ordinateur (téléchargez une version d'essai de Kaspersky Anti-Virus) ici.
 		 

Copyright © 1996 - 2010
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com