Worm.Win32_Ahker-F

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 13965 Octet(s)

Détails techniques:

Ahker-F s'envoie à des adresses électroniques trouvées sur la machine infectée. Il se présente sous la forme d'un courriel avec une pièce jointe .ZIP.

Les courriels envoyés ont les caractéristiques suivantes :

Objet (sélectionné aléatoirement parmi la liste suivante) :
Service pack 2 update!
Read this for your own good!:
Service pack 2 bug!
Read! hurry! before it's too late!
Microsoft windows service pack 2 bug!:
Microsoft's worst mistake!
Read this for your PC safety!
Please READ!
Nice!
...HOT!!
Free!
Read it!
Read this TWICE!
Believe it or not!
Oh hell its true!
RATED 21!


Expéditeur : Administrator@worldsex.com
Corps du message :
Hey buddy,

Check out this new porn clip of Britney Sprers!
Very Short but HOT!!
DOWNLOAD IT and WATCH IT!

Adminstrator


Expéditeur : owner@xxxceleb.com
Corps du message :
Hello!

Paris Hilton new SEX TAPE has been released!
In the attachment you will find some short quick scenes(HOT!!) that I liked the
most!!

Download it! I know its SHORT but at least youve watched the HOTTEST parts of
it!

Owner


Expéditeur : Clip@celebporno.com
Corps du message :
Hi...

Watch this and tell me what you think!
Download it! Its short but its VERY HOT!

Clip Owner


Expéditeur : Admin@fuckcelebrity.com
Corps du message :
Hell yeah...it's Pam!

Watch this latest clip of Pamela Anderson!
You will find the clip in the attachment! Enjoy!

Admin



Expéditeur : cought@worldporn.com
Corps du message :
Hi,

Watch Angelina Jolie and Brad Pitt cought on TAPE!
SEXY CLIP! WATCH IT!

Admin and Owner


Nom de la pièce jointe : "Clip.zip"

Ahker-F tente également de se répandre via les réseaux peer-to-peer en se copiant dans les répertoires partagés sous les noms de fichiers suivants :

Paris-Hilton.exe
Britney_porno.exe
PamelaAnderson.exe
wwedivas.exe
Porn_Celeb.exe
parishilton.exe
Sex.exe
Porn.exe
Paris Hilton.exe
PORNO.exe
XXX.exe
Naked WWE Divas.exe
Naked Britney.exe
Naked Celebrity.exe
Celeb uncensord.exe
SUCK.exe
Nude Britney.exe


Ahker-F tente de se propager sous le nom de "NUDE BRITNEY.EXE" via mIRC en modifiant mirc.ini

Lorsqu'il est exécuté, Ahker-F se copie dans le répertoire de démarrage de l'utilisateur sous le nom de "SVCHOST-.EXE". Il se copie par ailleurs dans "%HOMEDRIVE%\LSASS.EXE". Afin d'être exécuté à chaque démarrage d'une session utilisateur, Ahker-F paramètre l'entrée suivante du registre :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LSA Shell (Export Version)
%HOMEDRIVE%\LSASS.exe


Ahker-F s'associe à l'ouverture de fichiers texte en paramétrant l'entrée suivante du registre :

HKCR\txtfile\Shell\open\command
@
%HOMEDRIVE%\LSASS.exe %1


Ahker-F tente de télécharger une copie ZIP de lui-même depuis un site Web afin de l'envoyer par courriel.

Ahker-F tente de changer le nom de l'ordinateur en "Agent Hacker"

Ahker-F tente de mettre un terme aux processus suivants :

i11r54n4.exe
irun4.exe
d3dupdate.exe
rate.exe
ssate.exe
winsys.exe
ccApp.exe
winupd.exe
SysMonXP.exe
bbeagle.exe
Penis32.exe
teekids.exe
MSBLAST.exe
mscvb32.exe
sysinfo.exe
PandaAVEngine.exe
taskmon.exe
wincfg32.exe
outpost.exe
zonealarm.exe
navapw32.exe
navw32.exe
zapro.exe
msblast.exe
netstat.exe
dap.exe


Ahker-F ajoute les lignes suivantes dans le fichier HOSTS pour empêcher l'accès à certains sites Web :

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 grisoft.com
127.0.0.1 windowsupdate.microsoft.com


Ahker-F paramètre les entrées suivantes du registre :

HKCU\Software\Microsoft\Windows NT\CurrentVersion\systemrestore
DisableSR
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoRun
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DisallowRun
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
1
regedit.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
2
notepad.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
3
wordpad.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
4
write.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
5
wuauclt.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
6
wupdmgr.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
7
msnmsgr.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
8
LUALL.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
9
AUPDATE.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
10
ALUNOTIFY.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
12
DAP.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools
1

HKCU\Software\Microsoft\security center
FirewallDisableNotify
1

HKCU\Software\Microsoft\security center
UpdatesDisableNotify
1

HKCU\Software\Microsoft\security center
AntiVirusDisableNotify
1

HKCU\Software\Policies\Microsoft\WindowsFirewall\DomainProfile
EnableFirewall
1

HKCU\Software\Policies\Microsoft\WindowsFirewall\StandardProfile
EnableFirewall
1

HKCU\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate
1

HKCU\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
AUOptions
1

HKLM\SOFTWARE\Microsoft\security center
FirewallDisableNotify
1

HKLM\SOFTWARE\Microsoft\security center
UpdatesDisableNotify
1

HKLM\SOFTWARE\Microsoft\security center
AntiVirusDisableNotify
1

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
EnableFirewall
1

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
EnableFirewall
1

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
AUOptions
1

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate
1

HKLM\SOFTWARE\speedBit\Download Accelerator
BrowserIntegration
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
11
svchost-.exe


Ahker-F tente de lancer une attaque par déni de service (DoS) contre les domaines "www.windowsupdate.microsoft.com" et "www.rohitab.com".

De manière périodique, Ahker-F tente d'arrêter l'ordinateur.

Ahker-F crée un fichier nommé "C:\Ahker.F.dat" avec le texte suivant :

Don't blame me, Agent Hacker for creating these worms. BLAME www.rohitab.com!

Ahker-F ajoute un certain nombre de fichiers système avec du texte :

%SYSTEM%\firewall.dll avec "Agent Hacker rules!"

%SYSTEM%\hal.dll avec "Genes don't contain any record of humain history, you'll
NEVER catch me!(Agent Hacker - Bazzi)"

%SYSTEM%\svcpack.dll avec une URL





http://www.newdimension-fr.net/