Worm.Win32_Atak-L
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 11885 Octet(s)
Détails techniques:
A l'exécution de Atak-L, le ver se copie dans "%System%\sec5dec.exe" et modifie le fichier win.ini pour s'assurer d'être lancé à chaque démarrage de Windows :
[windows]
run = %System%\sec5dec.exe
Sur Windows NT/2000/XP/2003, cela se traduit automatiquement, suivant le système d'exploitation, par une entrée dans la base de registre :
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run = "%System%\sec5dec.exe"
N.B. : Le répertoire '%System%' est un emplacement variable. Le ver détermine le chemin du dossier System en fonction du système d'exploitation. Par défaut, dans Windows 2000 et NT, il se trouve ici : C:\Winnt\System32 ; pour Windows 95, 98 et ME, c'est C:\Windows\System et pour Windows XP : C:\Windows\System32
Atak-L crée aussi le mutex "251204" pour qu'il n'y ait qu'une copie du ver qui fonctionne en même temps.
L'e-mail piégé comporte les caractéristiques suivantes :
Objet :
Happy X-Mas to u!
X-Mas Greeting!
Corps du message :
I would like to say Happy X-Mas if you celebrate it and Happy New Year! Be matured not childish!
Forgive me if I have make some mistake and hope much better next year!
Happy X-Mas and New Year!
Fichier joint :
attached.pif"
"santa_gift.zip" qui contient "santa_gift.scr"
"scroll.zip" qui contient "scroll.bat"
Taille: 11885 Octet(s)
Détails techniques:
A l'exécution de Atak-L, le ver se copie dans "%System%\sec5dec.exe" et modifie le fichier win.ini pour s'assurer d'être lancé à chaque démarrage de Windows :
[windows]
run = %System%\sec5dec.exe
Sur Windows NT/2000/XP/2003, cela se traduit automatiquement, suivant le système d'exploitation, par une entrée dans la base de registre :
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run = "%System%\sec5dec.exe"
N.B. : Le répertoire '%System%' est un emplacement variable. Le ver détermine le chemin du dossier System en fonction du système d'exploitation. Par défaut, dans Windows 2000 et NT, il se trouve ici : C:\Winnt\System32 ; pour Windows 95, 98 et ME, c'est C:\Windows\System et pour Windows XP : C:\Windows\System32
Atak-L crée aussi le mutex "251204" pour qu'il n'y ait qu'une copie du ver qui fonctionne en même temps.
L'e-mail piégé comporte les caractéristiques suivantes :
Objet :
Happy X-Mas to u!
X-Mas Greeting!
Corps du message :
I would like to say Happy X-Mas if you celebrate it and Happy New Year! Be matured not childish!
Forgive me if I have make some mistake and hope much better next year!
Happy X-Mas and New Year!
Fichier joint :
attached.pif"
"santa_gift.zip" qui contient "santa_gift.scr"
"scroll.zip" qui contient "scroll.bat"
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
