W32/Crowt-A

Veuillez suivre les instructions de suppression des vers.

W32/Crowt-A est un ver de messagerie.

De même qu'il fournit des fonctions d'enregistrement de frappes de touches et de porte dérobée, W32/Crowt-A tente de s'envoyer par courriel aux adresses qu'il trouve sur l'ordinateur infecté comme si elles provenaient d'autres adresses sur l'ordinateur infecté. L'objet du courriel, le contenu du message et le nom de la pièce jointe sont générés à partir des titres rassemblés en temps réel depuis le site Web de CNN. W32/Crowt-A est un ver de messagerie contenant une fonctionnalité de cheval de Troie de porte dérobée.

W32/Crowt-A se copie dans le fichier SERVICES.EXE des dossiers startup, templates et program files de Windows et simultanément fait en sorte que le dossier startup Windows soit un fichier caché. Pour exécuter des copies de lui-même au démarrage du système, W32/Crowt-A tente de paramétrer des entrées dans le registre aux emplacements suivants :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ Services Logon

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ Services Startup

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\ Services Logon

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\ Services Startup

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\ Services Logon

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\ Services Startup

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ Services Logon

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ Services Startup

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Services Logon

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Services Startup

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ Services Logon

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ Services Startup

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\ Services Logon

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\ Services Startup

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ Services Logon

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ Services Startup

W32/Crowt-A injecte un fichier nommé SERVICES.DLL, aussi détecté sous le nom de W32/Crowt-A, dans le dossier système Windows qu'il injectera par la suite dans Explorer ou dans la fenêtre supérieure.

Lorsqu'il est exécuté pour la première fois, W32/Crowt-A peut ouvrir le site Web http://www.cnn.com/WORLD/ dans un navigateur Internet tout en contactant un PHP hébergé sur http://cocorosa.ath.cx.

Les princpales fonctionnalités de W32/Crowt-A sont contenues dans le fichier injecté sous le nom SERVICES.DLL. Le composant DLL de W32/Crowt-A supprime les entrées de registre définies ci-dessus qui exécutent le fichier SERIVES.EXE au démarrage du système et les paramètre de nouveau lorsque le DLL a terminé.

W32/Crowt-A tente de supprimer les fichiers du dossier cookies de Windows.

Pour changer sa configuration, W32/Crowt-A peut paramétrer certaines des entrées de registre suivantes :

HKCU\Software\Microsoft\Windows\WindowsUpdate\ Installed

HKCU\Software\Microsoft\Windows\WindowsUpdate\ Sended

HKCU\Software\Microsoft\Windows\WindowsUpdate\ Password

HKCU\Software\Microsoft\Windows\WindowsUpdate\ CallBack

HKCU\Software\Microsoft\Windows\WindowsUpdate\ Id

HKCU\Software\Microsoft\Windows\WindowsUpdate\ Email

HKCU\Software\Microsoft\Windows\WindowsUpdate\ Main Port

HKCU\Software\Microsoft\Windows\WindowsUpdate\ Data Port

HKCU\Software\Microsoft\Windows\WindowsUpdate\ Proxy Port

W32/Crowt-A se connecte par défaut au port 80 sur cocoazul.ath.cx et se met à l'écoute d'instructions issues d'un utilisateur distant. Ces instructions peuvent être de changer les configurations des registres mentionnés ci-dessus, d'envoyer des informations à propos de l'ordinateur infecté, d'envoyer le carnet d'adresses Windows de l'utilisateur, de télécharger des fichiers depuis un emplacement distant et de les exécuter, de supprimer des fichiers, de redémarrer l'ordinateur infecté, d'installer une invite de commande contrôlable par l'utilisateur distant, de se comporter en tant que serveur proxy, de supprimer des fichiers du dossier cookies de Windows, de faire surgir une boîte de message, de répertorier et de mettre fin à des processus, d'envoyer des courriels depuis l'ordinateur infecté, d'enregistrer les frappes de touches de l'utilisateur ou d'agir en tant que virus de courriel. Certaines de ces actions ont lieu sans que l'utilisateur distant n'en donne l'ordre.

W32/Crowt-A tente d'enregistrer les frappes de touches de l'utilisateur dans le fichier KEYS.TMP du dossier temp de Windows. W32/Crowt-A tente d'envoyer les données qu'il a rassemblé à l'utilisateur distant directement et aussi par courriel à l'adresse ramonvaldezar@yahoo.com.ar en faisant croire qu'elle provient de l'adresse enrique@cocorosa.com.

W32/Crowt-A tente de s'envoyer par courriel à l'aide de son propre moteur interne aux adresses qu'il trouve dans le carnet d'adresses de Windows ou dans le dossier de mémoire cache Internet de Windows, puis il envoie ces adresses en les faisant passer comme provenant d'autres adresses trouvées. Les en-têtes de courriel sont établis de manière à apparaître comme provenant de Microsoft Outlook Express. Les lignes d'objet, le contenu du message et le nom de la pièce jointe varient selon qu'ils sont construits à partir des gros titres des informations obtenues au moment de l'envoi depuis http://www.cnn.com. L'objet du message ainsi que le nom de la pièce jointe sont identiques et sont générés depuis le titre de la première page tandis que le texte du message est généré à partir de la page reliée au titre.