Worm.Win32_Anker-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 13824 Octet(s)

Détails techniques:

Anker-A a été écrit en Visual Basic.

Méthode d'infection

A son installation, il se copie dans le répertoire Windows sous le nom SERVICES.EXE et ajoute les entrées de registre suivantes :

HKLM\Software\Microsoft\windows\CurrentVersion\Run
"Norton Auto-Protect" = "SERVICES.EXE"
HKLM\software\microsoft\windows\currentversion\runservices-
"Windows Service" = "SERVICES.EXE"
HKLM\software\microsoft\windows\currentversion\windowsupdate
"auto update" = "SERVICES.EXE"
HKLM\software\microsoft\windows\currentversion\app paths
"LUALL.exe" = "SERVICES.EXE"
HKCR\txtfile\shell\open\command
@ = "SERVICES.exe %1"


Le ver ajoute également des entrées de registre contenant son nom, sa version, son langage de programmation, l'auteur du virus ainsi que ses caractéristiques.

Si possible, le ver se copie également dans les dossiers de démarrage de tous les utilisateurs.

Création d'un fichier texte Norton AntiVirus.txt à la racine du système de fichiers Windows (par défaut C:). Le fichier contient ceci :

Script Blocking: Disabled

Distribution par e-mail

Anker-A s'envoi de lui-même dans un message électronique. Il parcourt le carnet d'adresse d'Outlook et envoi un e-mail, accompagné du ver en pièce-jointe, à toutes les adresses trouvées.
Message envoyé :

Sujet

Service Pack 2 BUG!!

Corps du message

Dear user I have been informed that there was a BUG in Windows
Service Pack 2 which was fixed I recommend you to download this
Patch version which will fix the bug and keep your system safe.


You will find the Patch file in the attachment, feal free to
send it to anyone.


I'll be in touch with you as soon as another bug is found.


Regards,
A.H


Pièce-jointe

Fix_SP2.zip

L'archive ZIP contient le fichier exécutable Fix_SP2.exe. Ce ZIP est téléchargé par le ver :

http://geocities.com/vip_asshole/ahkerb.zip

Avant d'être distribué.

Le ver modifie le fichier HOSTS pour bloquer l'accès à certains sites web. Les adresses concernées sont redirigées vers le "localhost" (127.0.0.1). Voici la liste des sites bloqués :

www.symantec.com
www.microsoft.com
www.wwe.com
www.rohitab.com
www.coderheaven.com
www.astalavista.com
www.google.com
www.yahoo.com
www.msn.com
www.messenger.msn.com
www.geocities.com
www.worldsex.com
www.cnn.com
www.gamerevolution.com
www.hackers.com
www.fbi.gov
www.hotmail.com
www.norton.com
www.idm.com


De plus, le ver modifie les valeurs de registres ayant un rapport avec des systèmes de sécurité (pare-feu, antivirus, autoupdate, etc...). Le système de restauration du système, l'option Exécuter du menu Démarrer, l'éditeur de la base de registre et la barre des tâches sont désactivés par le ver. Certains applications ne peuvent plus être lancés :

Write
Notepad
Regedit
Wordpad
Wuauctl
Wupdmgr
MSN Messenger


Anker-A tente de changer le nom de l'ordinateur, le ProductID de Windows et Internet explorer en "Agent Hacker".

Le ver lance aussi l'application TASKKILL permettant de terminer certains process.




NEWSNOW