Worm.Win32_Bropia-F

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 184928 Octet(s)

Détails techniques:

Méthode d'infection

Lorsqu'il est exécuté, Bropia-F créait deux fichiers à la racine du disque dur C:\. Le premier fichier est une copie du ver dont le nom est choisi parmi la liste suivante :

LOL.scr
Webcam.pif
bedroom-thongs.pif
naked_drunk.pif
LMAO.pif
ROFL.pif
underware.pif
Hot.pif
new_webcam.pif


Il se copie également dans le répertoire "%System%" en tant que "msnus.exe".

Le second fichier porte le nom de "cz.exe" et est une variante du ver Rbot (Rbot-BOJ).

Le ver Borpia-F ne s'installe pas sur le système et ne s'exécute pas automatiquement au démarrage de Windows.

Bropia-F affiche également à l'écran une image nommée "sexy.jpg"

Méthode de distribution

Diffusion par MSN Messenger
Le ver se copie à la racine du disque dur (habituellement C:\) sous l'un des noms de fichier suivants:

LOL.scr
Webcam.pif
bedroom-thongs.pif
naked_drunk.pif
LMAO.pif
ROFL.pif
underware.pif
Hot.pif
new_webcam.pif


Il tente ensuite de s'envoyer à l'ensemble des contacts MSN Messenger connectés.

Toutefois, le logiciel MSN Messenger doit être exécuté sur la machine infectée pour que le ver puisse se répandre.

Payload

Installation de Malware additionel

Borpia-F dépose et éxécute un fichier nommé "cz.exe" qui est une variante du ver Rbot (Rbot-BOM).

Modification des paramètres systèmes

Le ver modifie également le volume des paramètres audio à zero.

Capture(s) d'écran:

Bropia-F



http://www.smtechnologie.com