Worm.Win32_Allocup-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 32838 Octet(s)

Détails techniques:

Lorsqu'il est exécuté, Allocup-A se copie dans le répertoire %System% sous le nom de "msveup.exe", puis il ajoute les entrées suivantes dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
".msfupdate" = "%System%\msveup.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
".msfupdate" = "%System%\msveup.exe"


Allocup-A tente de désactiver les services suivants :
SAVScan
SharedAccess
Symantec Core LC
kavsvc
navapsvc
wscsvc
wuauserv


Allocup-A tente d'ouvrir une porte dérobée sur un port TCP aléatoire et d'envoyer une notification à un serveur distant pour informer que le système est prêt à recevoir des commandes.

Allocup-A télécharge le fichier "readme001.txt" des noms de domaine suivants :
doalloc.com
nevertest.com
rpcset.com
upalloc.com


Le fichier ainsi sauvegardé contient une liste d'URLs où le ver peut télécharger et exécuter des fichiers additionnels.

Allocup-A tente de télécharger un fichier du domaine "upalloc.com" mais le fichier est actuellement indisponible.




http://www.blocus-zone.com/