Worm.Win32_Atak-F

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 12253 Octet(s)

Détails techniques:

Atak-F est un ver Windows qui se propage par courriel en utilisant son propre serveur SMTP. Atak-F se copie sous un nom aléatoire dans le repertoire système de Windows.

Pour s'exécuter automatiquement à l'ouverture d'une session :
Sur les systèmes Windows 9x :
Atak-F insère une entrée "load=%System%
om_du_ver" sous la section [windows] du fichier WIN.INI.

Sur les systèmes Windows NT, 2000 et XP :
Atak-F paramètre l'entrée de registre suivante :
[code]HKCU\Software\Microsoft\Windows NT\Current\Version\Windows "run" = "%System%
om_du_ver"[/code]


Atak-F s'envoie par courriel aux adresses électroniques qu'il collecte sur le système. Il cherche ainsi les adresses dans des fichiers ayant pour extensions :

.log
.html
.msg
.eml
.mht
.dbx
.asp
.php
.jsp
.htm
.txt


Le message envoyé par le ver à les caractéristiques suivantes :

De: Adresse spoofée

Nom de la pièce jointe : (Un parmi)

separate_file.zip
textfile.zip
print.zip
note.zip
white_paper.zip
part001.zip


Objets : (Un parmi)

[code] Love [/code]

ici, les parties aléatoires sont sélectionnées parmi les listes suivantes.

:
Stay
True
Get
Make
Have a


:
human spirit
Not Wars
and get money
for fun
will freedom
to other
with me
Not spam


:
:D
;)
:>
;-D
- ;-*
!!
!?!
:K


Par exemple : "Have a Love to other :>".

Le message commence avec une forme de politesse comme suit :
" ," où est choisi parmi :

Dear
Congratulation
Welcome
Greet
Hi
Hello
Nice to meet you


et parmi :
Ladies & Gentleman
Sir/Madam
Person
Customer
User


Par exemple : 'Welcome User,'.

La forme de politesse est suivie d'une des lignes suivantes :

"We have installed our anti-spam tools to protect your email
Your account info has been setting up to block spam email
We have make a few change for our customer. Please be informed
We have upgraded your account features
Your account has been upgraded with our new services"


suivie d'une autre ligne contenant du texte aléatoire se présentant sous la forme
site Web à http://www. vers

est choisi parmi :
Please check our
Visit our
Goto our
Logon to


et est choisi parmi :
know about account features
learn about our features
get more info
find out our services.


Le nom de domaine est soit collecté depuis le système ou élaboré aléatoirement.

La partie suivante du courriel contient l'une des lignes suivantes :
Remember this note
Please take note this info
Keep this info
Your account info


suivie de

---> Email:
---> Password:

est une adresse électronique construite aléatoirement pour le nom de domaine choisi précédemment. Le mot de passe est une chaîne aléatoire. est choisi aléatoirement parmi les éléments les suivants :

[please change it after registration]

(You can change it later)

(temp. pwd only)

(temporary password).


La ligne suivante du courriel se présente sous la forme site Web vers http://www. .

est choisi parmi :
Please check our
Visit our
Goto our
Logon to


et est choisi parmi :
know about account features
learn about our features
get more info
find out our services.


La dernière ligne se présente sous la forme ormation .

est choisi parmi :
Saved
Email account
Your credential
Your account
NOTE: All your account


et est choisi parmi :
has been saved. Please check when needed
can be found at your email attachment
has been clipped to your email
already included into your email
has been attached as a file and ready to be printed.


Le courriel se termine par une forme de politesse ,
est choisi parmi :
By
Thank you
Your sincerely
Regard


et parmi :
Help Team
Technical Support
Customer Services
Administrator
Services Team
Team.


Par exemple, le courriel se présente ainsi :
"Welcome Sir/Madam,

We have installed our anti-spam tools to protect your email.
Please check our website at http://www.microsoft.com to know about account
features.

Your account info:

---> Email: [email protected]
---> Password: 2aff (temporary password)


Please check our website to learn about our features
http://www.microsoft.com .

Your account information has been saved. Please check when needed.

Your sincerely,
microsoft.com Team"





http://www.infoshackers.com