Worm.Win32_Assiral-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Assiral-A se présente sous la forme d'un fichier Windows PE exécutable. Il a été développé sous Delphi et est compacté avec "Aspack executable packer". Le ver requière certains composant DLL de Delphi pour fonctionner, de ce fait, il ne fonctionne pas sur tous les systèmes.

Méthode d'infection

Lorsqu'il est exécuté, Assiral-A se copie dans le répertoire %System% en tant que MS_LARISSA.EXE et ajoute l'entrée suivante dans la base de registre système afin d'être exécuté à chaque démarrage d'une session utilisateur :

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"MS_LARISSA" = "%Sysdir%\MS_LARISSA.EXE"


Le ver tente également de se copier sur l'ensemble des disques (de A à Z) sous le nom "MS_LARISSA.EXE" et dans le répertoire %Windows% sous le nom "LOVE_LETTER.TXT.exe".

Le ver dépose et exécute les fichiers suivants :

C:\WINDOWS\WinVBS_32.vbs
C:\WINDOWS\System32\REG_32.vbs
C:\LARISSA_ANTI_BROPIA.html


Il tente d'ouvrir une page Internet hébergée sur www.geocities.com et de modifier la page d'accueil d'Internet Explorer.

Propagation par courriel

Le script WinVBS_32.vbs contient la fonction de pollupostage du ver. Il utilise l'application Outlook afin d'envoyer les courriels à l'ensemble du carnet d'adresse Outlook.

Les messages électroniques envoyés ont les caractéristiques suivantes :

Objet: Re: LOV YA !
Corps du message: Kindly read and reply to my LOVE LETTER in the attachments :-)
Pièce jointe: LOVE_LETTER.TXT.exe


La pièce jointe est préalablement sauvegardée dans le répertoire "C:\WINDOWS".

Ce script modifie également la base de registre :

[HKCU \Software\Microsoft\WAB\EddieMail]

Payload

Le ver dépose un fichier HTML nommé "LARISSA_ANTI_BROPIA.html" à la racine du disque C:, puis l'affiche.

Ce fichier contient le texte suivant :

Assiral.A also drops a small Visual Basic Script file, C:\WINDOWS\System32\REG_32.vbs, and executes changing some of the policy settings from the Windows registry. This will for example hide all drives from the Explorer and disable registry editing tools.

Le ver dépose également le fichier "C:\MESSAGE.txt" contenant un message de l'auteur :

Greetz from LARISSA.B!
I will survive,
In this moment in time.
You computer will crash,
So, you will be mine.
I never crash,
I never fail.
So, in this moment in time,
I will survive...
- LARISSA AUTHOR - 5-15-05


Le ver tente de terminer les processus du ver MSN Messenger nommé Bropia:

Beautiful Ass.pif
John Kerry as Super Chicken.scr
Kool.pif
Me & you pic!.pif
Me Pissed!.pif
sexy.pif
She Could Fit her Ass in a Teacup.pif
she's fuckin fit.pif
titanic2.jpg.pif
cz.exe
msnmsr.exe
Webcam.pif
bedroom-things.pif
naked_drunk.pif
my_pussy.pif
ROFL.pif
underware.pif
Hot.pif
new_webcam.pif


Enfin, le ver termine les processus liés à certains programmes de sécurité informatique :

APVXDWIN.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVENGINE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
Avconsol.exe
Avsynmgr.exe
CFIAUDIT.EXE
DRWEBUPW.EXE
DefWatch.exe
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
MCUPDATE.EXE
NISUM.EXE
NPROTECT.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
UPDATE.EXE
UpdaterUI.exe
VsStat.exe
VsTskMgr.exe
Vshwin32.exe
alogserv.exe
bawindo.exe
blackd.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
mcagent.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nopdb.exe
pavProxy.exe
pavsrv50.exe
symlcsvc.exe
SpySweeper.exe
ISASS.EXE


Capture(s) d'écran:

Assiral-A



http://www.echu.org/