Worm.Win32_Bropia-M

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 11676 Octet(s)

Détails techniques:

Bropia-M est un ver, résident mémoire, se répandant par le réseau MSN Messenger.

Dès son exécution, il vérifie l'existence d'un debugger sur la machine infectée. Si ce dernier existe, le ver termine son processus.

Bropia-M dépose une copie de son ver dans le dossier %System% sous le nom ISASS.EXE.

N.B. : Bropia-M détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilsée. Par défaut, sous Windows 2000 et NT, c'est C:\Winnt\System32 ; sous Windows 95/98/Me, c'est C:\Windows\System et sous XP : C:\Windows\System32.

Il dépose aussi une copie du ver à la racine du système de fichiers Windows (en général C:\) sous un des noms suivants :

- Beautiful Ass.pif
- John Kerry as Super Chicken.scr
- Kool.pif
- Me & you pic!.pif
- Me Pissed!.pif
- sexy.pif
- She Could Fit her Ass in a Teacup.pif
- she's fuckin fit.pif
- titanic2.jpg.pif

Pour s'exécuter à chaque démarrage, Bropia-M crée les entrées de registre suivantes :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Isass = "C:\WINNT\System32\Isass.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Isass = "C:\WINNT\System32\Isass.exe"


Bropia-M peut désactiver le bouton droit de la souris, ainsi que le Gestionnaire des Tâches (TASKMGR.EXE) et l'éditeur de la Base de Registre (REGEDIT.EXE) afin d'empêcher les utilisateurs de terminer le processus correspondant au ver.

Le ver dépose le fichier l0l_53xy_l0l.html dans le répertoire où il est exécuté. Dès l'exécution du ver, ce fichier HTML, tente de se connecter aux sites suivants, pour afficher une image :

http://counter.rapidcounter.com/coun{BLOQUÉ}/1107713659/bbldotg
http://www.freewebs.com/lol_{BLOQUÉ}_you_lol/l0l_53xy_l0l.jpg


(Ces urls ne sont plus accessibles à l'heure de la publication du virus).




http://www.smtechnologie.com