Worm.VBS_Speery-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté, Speery-A affiche une boite de dialogue avec le message suivant :

I-Worm.Maxpeery
by Spidey [SECTOR-S]
Indonesia
URL : {Site Internet de l'auteur}


Le ver se copie dans le répertoire %Windows% en tant que "Christina_Aquilera.jpg.vbs" et dans le répertoire %System% en tant que "gsw332.exe.vbs".

Afin d'être exécuté à chaque démarrage d'une session utilisateur, le ver créait les entrées suivantes dans la base de registre:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ccApp
"%System%\gsw332.exe.vbs"

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
AVPCC
"%Windows%\Christina_Aquilera.jpg.vbs"


Le ver peut également modifier l'entrée suivante :

HKCU\Software\Microsoft\Windows Script Host\Settings
Timeout


Si le répertoire "C:\program files\winrar" existe, le ver tente de créer les fichiers suivants en utilisant l'application WinRar:

Christina_aquilera.rar
gsw332.rar


Les courriels envoyés par Speery-A possèdent les caractéristiques suivantes :

Objet:
Tolong dong...

Le nom du fichier joint est sélectionné aléatoirement parmi la liste suivante :
VBS/Speery-A's current filename
gsw332.rar
Christina_Aquilera.rar


Le fichier attaché est l'un des fichiers créés avec l'application WinRar.

Corps du message :
Kenapa dari dulu hidupku seperti ini ?, kenapa ga ada perubahan yang berarti ? Tolong dong cariin aku kerjaan

Si le répertoire "C:\mirc" existe, Speery-A créait un fichier nommé "script.ini" qui provoque l'envoi de copies du ver via l'application mIRC à tous les utilisateurs joignant le réseau IRC.




http://www.secuobs.com/