Worm.Win32_Bropia-A
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 159744 Octet(s)
Détails techniques:
Lorsqu'il est execute, le ver controle la présente des fichiers suivants :
adaware.exe
VB6.EXE
lexplore.exe
Win32.exe
Si les fichiers ne sont pas trouvés, il dépose sur le système un fichier nommé "oms.exe" et l'exécute. Ce fichier est une variante du ver Rbot, ayant pour fonctionnalité de conserver un log des touches frappées au clavier par l'utilisateur et de transformer l'ordinateur de la victime en relais pour pourriel
Lorsque le fichier "oms.exe" est exécute, il se copie sous le nom de fichier "lexplore.exe" et ajoute les clés suivantes à la base de registre dans le but d'être exécuté à chaque démarrage d'une session utilisateur :
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"lexplore" = "lexplore"
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"lexplore" = "lexplore"
Le ver désactive également le bouton droit de la souris de l'utilisateur afin de prévenir l'accès à des menus étendus (pour des antivirus par exemple), et modifie les paramètres audio de Windows.
Diffusion par MSN Messenger
Le ver se copie à la racine du disque dur (habituellement C:\) sous l'un des noms de fichier suivants:
Drunk_lol.pif
Webcam_004.pif
sexy_bedroom.pif
naked_party.pif
love_me.pif
Il tente ensuite de s'envoyer à l'ensemble des contacts MSN Messenger connectés.
Toutefois, le logiciel MSN Messenger doit être exécuté sur la machine infectée pour que le ver puisse se répandre.
Taille: 159744 Octet(s)
Détails techniques:
Lorsqu'il est execute, le ver controle la présente des fichiers suivants :
adaware.exe
VB6.EXE
lexplore.exe
Win32.exe
Si les fichiers ne sont pas trouvés, il dépose sur le système un fichier nommé "oms.exe" et l'exécute. Ce fichier est une variante du ver Rbot, ayant pour fonctionnalité de conserver un log des touches frappées au clavier par l'utilisateur et de transformer l'ordinateur de la victime en relais pour pourriel
Lorsque le fichier "oms.exe" est exécute, il se copie sous le nom de fichier "lexplore.exe" et ajoute les clés suivantes à la base de registre dans le but d'être exécuté à chaque démarrage d'une session utilisateur :
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"lexplore" = "lexplore"
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"lexplore" = "lexplore"
Le ver désactive également le bouton droit de la souris de l'utilisateur afin de prévenir l'accès à des menus étendus (pour des antivirus par exemple), et modifie les paramètres audio de Windows.
Diffusion par MSN Messenger
Le ver se copie à la racine du disque dur (habituellement C:\) sous l'un des noms de fichier suivants:
Drunk_lol.pif
Webcam_004.pif
sexy_bedroom.pif
naked_party.pif
love_me.pif
Il tente ensuite de s'envoyer à l'ensemble des contacts MSN Messenger connectés.
Toutefois, le logiciel MSN Messenger doit être exécuté sur la machine infectée pour que le ver puisse se répandre.
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
