Worm.Win32_Bropia-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 159744 Octet(s)

Détails techniques:

Lorsqu'il est execute, le ver controle la présente des fichiers suivants :
adaware.exe
VB6.EXE
lexplore.exe
Win32.exe


Si les fichiers ne sont pas trouvés, il dépose sur le système un fichier nommé "oms.exe" et l'exécute. Ce fichier est une variante du ver Rbot, ayant pour fonctionnalité de conserver un log des touches frappées au clavier par l'utilisateur et de transformer l'ordinateur de la victime en relais pour pourriel

Lorsque le fichier "oms.exe" est exécute, il se copie sous le nom de fichier "lexplore.exe" et ajoute les clés suivantes à la base de registre dans le but d'être exécuté à chaque démarrage d'une session utilisateur :

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"lexplore" = "lexplore"


[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"lexplore" = "lexplore"


Le ver désactive également le bouton droit de la souris de l'utilisateur afin de prévenir l'accès à des menus étendus (pour des antivirus par exemple), et modifie les paramètres audio de Windows.

Diffusion par MSN Messenger

Le ver se copie à la racine du disque dur (habituellement C:\) sous l'un des noms de fichier suivants:
Drunk_lol.pif
Webcam_004.pif
sexy_bedroom.pif
naked_party.pif
love_me.pif


Il tente ensuite de s'envoyer à l'ensemble des contacts MSN Messenger connectés.

Toutefois, le logiciel MSN Messenger doit être exécuté sur la machine infectée pour que le ver puisse se répandre.




http://www.lesdepeches.com/