Worm.VBS_Scafene

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 10227 Octet(s)

Détails techniques:

Lorsqu'il est exécuté, Scafene se copie dans le répertoire %Windows% sous les noms suivants :
Game.exe.vbs
Shell32.vbs

Il ajoute ensuite les entrées suivantes dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Win32" = "C:\Windows\Game.exe.vbs"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Shell32" = "C:\Windows\Shell32.vbs"

Il ajoute également les entrées suivantes :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
"RegisteredOwner" = "Coded by ....."

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
"Start Page" = "stif.hit.bg/BugFix.exe"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Start Page" = "stif.hit.bg/BugFix.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
"1201" = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoDesktop" = "1"

Il recherche les fichiers ayant l'extension .vbs ou .vbe dans l'ensemble des répertoires du système afin de les écraser avec son propre code.

Il utilise Microsoft Outlook pour s'envoyer à l'ensemble des adresses e-mail récoltées dans le carnet d'adresse du système.

Le courriel envoyé possède les caractéristiques suivantes :

Objet: Heyy..!! The Game Is Here"

Corps du message: We are from Game Team and we made our super GAME. Check this game and sent to us your opinion about the game ;)

Pièce jointe: Game.exe.vbs

Il localise le répertoire mIRC et réécrit le fichier "script.ini" afin de s'envoyer en copie aux autres utilisateurs de mIRC en affichant le message suivant :

Welcome To Our New World. More games at [domaine]

Note: [domaine] représente un URL prédéfini.