Peacomm (= Downloader.BAI, Small.DBY, Storm Worm)

[Bilifly]

Peacomm est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courrier électronique vide accompagné d'un fichier joint dont l'extension est .exe, en tentant de se faire passer notamment pour une dépêche d'actualité, une carte de voeux virtuelle ou un message à caractère personnel/sexuel.
PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. D'une manière générale, même si son nom est intrigant ou attrayant il ne faut pas exécuter un fichier joint douteux sans avoir fait confirmer son envoi par l'expéditeur du message puis l'avoir analysé avec un antivirus à jour.

DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser l'antivirus gratuit en ligne pour rechercher et éliminer le troyen.


TYPE :
Troyen

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
TR/Dldr.Small.DBX (AntiVir)
TR/Drop.Small.DBY (AntiVir)
TR/Small.DBY.B (AntiVir)
TR/Small.DBY.G (AntiVir)
TR/Small.DBY.I (AntiVir)
TR/Small.DBY.K (AntiVir)
TR/Small.DBY.Q (AntiVir)
TR/Small.DBY.R (AntiVir)
TR/Crypt.ULPM.Gen (AntiVir)
Win32:Tibs-AFO (Avast)
Win32:Tibs-AFP (Avast)
Win32:Tibs-AFW (Avast)
Downloader.Tibs (AVG)
Downloader.Agent.ICB (AVG)
Trojan.Agent.AHS (BitDefender)
Trojan.Peed.A (BitDefender)
Win32.Mixor.J@mm (BitDefender)
Trojan.Peed.V (BitDefender)
Trojan.Peed.W (BitDefender)
Win32/Tibs!generic (CA)
Trojan.Downloader-647 (ClamAV)
Trojan.Downloader-648 (ClamAV)
Trojan.Downloader-656 (ClamAV)
Trojan.Downloader-657 (ClamAV)
Trojan.Downloader-658 (ClamAV)
Trojan.Downloader-659 (ClamAV)
Trojan.Downloader-669 (ClamAV)
Trojan.Downloader.TaberMartyn-112 (ClamAV)
Trojan.Downloader-747 (ClamAV)
Trojan.Downloader-749 (ClamAV)
Trojan.Downloader-758 (ClamAV)
BackDoor.Groan (DrWeb)
Trojan.Spambot (DrWeb)
Trojan.DownLoader.17755 (DrWeb)
W32/Downloader.AYDY (F-Prot)
W32/Downloader.AYEN (F-Prot)
W32/Downloader.AYES (F-Prot)
W32/Downloader.AYEV (F-Prot)
W32/Downloader.AYFF (F-Prot)
W32/Tibs.RG (F-Prot)
Trojan-Downloader.Win32.Small.dam (F-Secure)
Trojan-Downloader.Win32.Agent.bet (F-Secure)
Email-Worm.Win32.Zhelatin.a (F-Secure)
W32/Stormy.AV (F-Secure)
Trojan-Downloader.Win32.Small.ciw (F-Secure)
Email-Worm.Win32.Zhelatin.d (F-Secure)
Email-Worm.Win32.Banwarum.l (F-Secure)
W32/Stormy.CE (F-Secure)
Email-Worm.Win32.Zhelatin.h (F-Secure)
Email-Worm.Win32.Zhelatin.k (F-Secure)
Trojan-Downloader.Win32.Small.dam (Kaspersky)
Trojan-Downloader.Win32.Agent.bet (Kaspersky)
Trojan-Proxy.Win32.Lager.dp (Kaspersky)
Found Trojan-Downloader.Win32.Small.ciw (Kaspersky)
Email-Worm.Win32.Zhelatin.d (Kaspersky)
Email-Worm.Win32.Banwarum.l (Kaspersky)
Email-Worm.Win32.Zhelatin.h (Kaspersky)
Email-Worm.Win32.Zhelatin.k (Kaspersky)
Downloader-BAI (McAfee)
Downloader-BAI.gen (McAfee)
Win32/Nuwar.Q (NOD32)
Win32/Fuclip.B (NOD32)
Win32/TrojanProxy.Lager.NAD (NOD32)
Win32/Nuwar.S (NOD32)
Win32/Nuwar.T (NOD32)
Win32/Nuwar.U (NOD32)
Win32/Nuwar.X (NOD32)
Win32/Nuwar.gen (NOD32)
W32/Tibs.gen12 (Norman)
W32/Tibs.gen19 (Norman)
W32/Tibs.OCW (Norman)
Mal/EncPk-B (Sophos)
Troj/Dorf-Fam (Sophos)
Trojan.Peacomm (Symantec)
TROJ_SMALL.EDW (Trend Micro)
Storm Worm
CME-711

TAILLE :
22 à 50 Ko

DECOUVERTE :
19/01/2007

DESCRIPTION DETAILLEE :
Peacomm est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. Il peut cependant arriver en pièce jointe d'un courrier électronique car son auteur utilise la technique du spamming pour le diffuser.

Il se présente sous la forme d'un message dont le corps est vide et dont le titre et le nom du fichier joint sont variables. Quelques titres de message :

230 dead as storm batters Europe.
Naked teens attack home director.
U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
La pièce jointe est un fichier dont la taille est 29 Ko (29.347 octets) :

Full Clip.exe
Video.exe
Read More.exe
Full Story.exe
FullVideo.exe
Si ce fichier est exécuté, le troyen se copie dans le répertoire système de Windows sous le nom wincom32.sys, modifie la base de registres pour s'exécuter automatiquement à chaque démarrage de l'ordinateur, puis tente de télécharger et d'exécuter plusieurs programmes malicieux depuis une liste de sites contrôlés par son expéditeur, dont une variante du virus Nuwar/Mixor, afin de créer un botnet (réseau d'ordinateurs zombie contrôlés et manipulés à distance par une seule personne ou organisation criminelle) peer-to-peer via le port 7871/UDP ou 4000/UDP.

20/01/07 01h15 : diffusion d'une variante mineure du cheval de Troie. Quelques nouveaux titres de message :


Sadam Hussein alive!
Sadam Hussein safe and sound!
Russian missle shot down Chinese aircraft
Russian missle shot down USA satellite
Russian missle shot down USA aircraft
Chinese missile shot down USA aircraft
Chinese missile shot down Russian satellite
Chinese missile shot down Russian aircraft
Russian missle shot down Chinese aircraft
The commander of a U.S. nuclear submarine lunch the rocket by mistake.
Radical Muslim drinking enemies' blood.
La pièce jointe est un fichier dont la taille est 26 Ko (26.624 octets) :

Full News.exe
Full Story.exe
Read More.exe
Full Video.exe
Full Text.exe
Full Clip.exe
Video.exe
Read News.exe
20/01/07 22h00 : diffusion d'une nouvelle variante. Quelques nouveaux titres de message :

First Nuclear Act of Terrorism!
Hugo Chavez dead.
Fidel Castro dead.
President of Russia Putin dead
La taille du fichier attaché est 31 Ko (31.395 octets).

21/01/07 11h00 : diffusion d'une nouvelle variante. Quelques nouveaux titres de message :

Happy World Religion Day!
Bewitching Moonlight
Peek-A-Boo
Only You
Until the Day
La taille du fichier attaché est 29 ou 31 Ko. Quelques nouveaux noms de pièce jointe :

Click Here.exe
Greeting Postcard.exe
flash postcard.exe
Greeting Card.exe
Postcard.exe
postcard.exe
greeting card.exe
Flash Postcard.exe
21/01/07 17h45 : diffusion d'une nouvelle variante. Quelques nouveaux titres de message :

That Special Love
Wrapped in Your Arms
Cuddle Me Please
A Hug & Roses
Sending You My Love
La taille du fichier attaché est 46 ou 47 Ko. Les noms de pièce jointe possibles sont :

Greeting Postcard.exe
flash postcard.exe
Greeting Card.exe
Postcard.exe
postcard.exe
greeting card.exe
Flash Postcard.exe
22/01/07 17h15 : diffusion d'une nouvelle variante. Quelques titres de message :

Emptiness Inside Me
Want to Meet?
Dinner Coupon
Baby, I'll Be There
I'll Be Your Man
You Rock Me!
A Romantic Place
All For You
A Little (sex) Card
Our Love is Strong
La taille du fichier attaché est 47 Ko.

24/01/07-30/01/07 : diffusion de plusieurs nouvelles variantes. Quelques titres de message :

Heart is Breaking
I Think of You
Together Again
Won't you dance with me
Wine and Roses
Wrapped Up
Just You & Me
Thinking about you
Rose for my Love
Against All Odds
Made for Each Other
Feeling Horny?
Forever in Love
So Unique
La taille du fichier attaché est 50 Ko.

31/01/07 : diffusion d'une nouvelle variante. Quelques titres de message :

Just You
Live With Me
Why I Love You
Steamy Sex Coupon
Just You
Magic of Flowers
The Dance of Love
Trunk Full Of Love
La taille du fichier attaché est 45 Ko. Les noms de pièce jointe possibles sont :

Greeting Postcard.exe
flash postcard.exe
Greeting Card.exe
Postcard.exe
postcard.exe
greeting card.exe
Flash Postcard.exe

Source : Secuser

[gargout]

les obsédés sexuels tomberont surement dans le panneau

Citation :Sadam Hussein alive!
Sadam Hussein safe and sound!

très sympa comme nom de trojan

[leMISTER]

vous parlez encore de Sadam Hussein :m'en fou:
mais c'est vrai que c'est âs bien les virus

[bils2]

J'ai déjà eu ce genre de problème
J'ai reçu un message electronique de pub de la part d'un de mes contactes, pis je clique, pour voir ce que c'étaitet hop ! un message electronique à tout mes contacte .