Worm.Win32_Atak-I

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 11625 Octet(s)

Détails techniques:

A l'exécution de Atak-I, le ver se copie dans "%System%\dec25.exe" et modifie le fichier win.ini pour s'assurer d'être lancé à chaque démarrage de Windows :

[windows]
run = %System%\dec25.exe


Sur Windows NT/2000/XP/2003, ceci est automatiquement traduit, par le système d'exploitation, par une entrée dans la base de registre :

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run = "%System%\dec25.exe"

N.B. : Le répertoire '%System%' est un emplacement variable. Le ver détermine le chemin du dossier System en fonction du système d'exploitation. Par défaut, dans Windows 2000 et NT, il se trouve ici : C:\Winnt\System32 ; pour Windows 95, 98 et ME, c'est C:\Windows\System et pour Windows XP : C:\Windows\System32

Atak-I crée aussi le mutex "2k5" pour qu'il n'y ait qu'une copie du ver qui fonctionne en même temps.

L'e-mail piégé comporte les caractéristiques suivantes :

Objet :

Merry X-Mas!
Happy New Year!

Corps du message :

Happy New year and wish you good luck on next year!
Merry Chrismas & Happy New Year! 2005 will be the beginning!

Fichier joint :

bat.com
pif.zip
scr.zip
com.zip
bat.zip

Ce virus a été programmé avec VC++ 5.




http://www.generation-nt.com/