Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Variable Octet(s)
Détails techniques:
Installation sur le système
Lorsqu'il est exécuté, AimDes-A se copie dans le répertoire '%Windows%' en tant que :
msVBdll.exe
msVBdll.pif
Il tente également de se copier sur le lecteur A en tant que :
HOMEWORK.EXE
Afin d'être exécuté à chaque démarrage d'une session utilisateur, le ver créait les entrées suivantes dans la base de registre système:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
MsVBdl = "C:\Windows\MsVBdll.pif"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
MsVBdl = "C:\Windows\MsVBdll.pif"
Il se copie également dans le répertoire "Démarrage" de l'utilisateur (généralement C:\Documents and Settings\{nom_utilisateur}\Menu Démarrer\Programmes\Démarrage) en tant que :
MSVBDLL.EXE
Le ver créait également les entrées suivantes afin de désactiver les applications pare-feu et antivirus, ainsi que Windows Update et l'éditeur de registre :
HKEY_CURRENT_USER\Software\Microsoft\security center
FirewallDisableNotify = "dword:00000001"
UpdatesDisableNotify = "dword:00000001"
AntiVirusDisableNotify = "dword:00000001"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001"
DisableRegistryTools = "dword:00000001"
HKEY_LOCAL_MACHINE\Software\Microsoft\security center
FirewallDisableNotify = "dword:00000001"
UpdatesDisableNotify = "dword:00000001"
AntiVirusDisableNotify = "dword:00000001"
HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = "dword:00000001"
Le ver peut également être susceptible de créer l'entrée suivante :
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NotifyDownloadComplete = "yes"
Le ver supprime l'entrée suivante :
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
windows = "auto update.exe"
Propagation via AOL Instant Messenger
Le ver se propage via AOL Instant Messenger (AIM) en envoyant une copie de lui-même en tant "C:\Windows\picture.pif" à l'ensemble des contacts connectés de la "Buddy" liste AIM.
Lorsqu'il envoie le fichier, il affiche le message suivant :
Hey whats up!! look what I did to my hair...lol!!
Propagation par courriel
Le ver se répand en envoyant un email à chaque adresse électronique trouvée sur la machine infectée. Il trouve les adresses dans le carnet d'adresses de Windows en utilisant Message Application Protocol Interface (MAPI).
Le courriel envoyé possède les caractéristiques suivantes :
L'objet du message est le suivant:
Service Pack 2 BUG!!
Le contenu du message est le suivant:
Dear user I have been informed that there was a BUG in Windows Service Pack 2 which was fixed I recommend you to download this Patch version which will fix the bug and keep your system safe.
You will find the Patch file in the attachment, feal free to send it to anyone.
I'll be in touch with you as soon as another bug is found.
Le ver s'attache au message sous le nom et l'extension suivant :
Fix_SP2.zip
Arrêt de processus
Le ver tente de terminer les processus système suivants:
LSASS.EXE
SVCHOST.EXE
Informations complémentaires
Le ver tente de télécharger un fichier localisé à l'adresse suivante :
http://geocities.com/visshole/ahkerb.zip
Le ver est compilé avec Microsoft Visual Basic.