Worm.Win32_AimDes-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Variable Octet(s)

Détails techniques:

Installation sur le système

Lorsqu'il est exécuté, AimDes-A se copie dans le répertoire '%Windows%' en tant que :
msVBdll.exe
msVBdll.pif


Il tente également de se copier sur le lecteur A en tant que :
HOMEWORK.EXE

Afin d'être exécuté à chaque démarrage d'une session utilisateur, le ver créait les entrées suivantes dans la base de registre système:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
MsVBdl = "C:\Windows\MsVBdll.pif"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
MsVBdl = "C:\Windows\MsVBdll.pif"


Il se copie également dans le répertoire "Démarrage" de l'utilisateur (généralement C:\Documents and Settings\{nom_utilisateur}\Menu Démarrer\Programmes\Démarrage) en tant que :
MSVBDLL.EXE

Le ver créait également les entrées suivantes afin de désactiver les applications pare-feu et antivirus, ainsi que Windows Update et l'éditeur de registre :

HKEY_CURRENT_USER\Software\Microsoft\security center
FirewallDisableNotify = "dword:00000001"
UpdatesDisableNotify = "dword:00000001"
AntiVirusDisableNotify = "dword:00000001"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001"
DisableRegistryTools = "dword:00000001"

HKEY_LOCAL_MACHINE\Software\Microsoft\security center
FirewallDisableNotify = "dword:00000001"
UpdatesDisableNotify = "dword:00000001"
AntiVirusDisableNotify = "dword:00000001"

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = "dword:00000001"


Le ver peut également être susceptible de créer l'entrée suivante :

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NotifyDownloadComplete = "yes"


Le ver supprime l'entrée suivante :

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
windows = "auto update.exe"


Propagation via AOL Instant Messenger

Le ver se propage via AOL Instant Messenger (AIM) en envoyant une copie de lui-même en tant "C:\Windows\picture.pif" à l'ensemble des contacts connectés de la "Buddy" liste AIM.

Lorsqu'il envoie le fichier, il affiche le message suivant :

Hey whats up!! look what I did to my hair...lol!!

Propagation par courriel

Le ver se répand en envoyant un email à chaque adresse électronique trouvée sur la machine infectée. Il trouve les adresses dans le carnet d'adresses de Windows en utilisant Message Application Protocol Interface (MAPI).

Le courriel envoyé possède les caractéristiques suivantes :

L'objet du message est le suivant:

Service Pack 2 BUG!!

Le contenu du message est le suivant:

Dear user I have been informed that there was a BUG in Windows Service Pack 2 which was fixed I recommend you to download this Patch version which will fix the bug and keep your system safe.

You will find the Patch file in the attachment, feal free to send it to anyone.
I'll be in touch with you as soon as another bug is found.


Le ver s'attache au message sous le nom et l'extension suivant :

Fix_SP2.zip

Arrêt de processus

Le ver tente de terminer les processus système suivants:
LSASS.EXE
SVCHOST.EXE


Informations complémentaires

Le ver tente de télécharger un fichier localisé à l'adresse suivante :
http://geocities.com/visshole/ahkerb.zip

Le ver est compilé avec Microsoft Visual Basic.




http://www.hackisknowledge.org/