Worm.Win32_Picrate-B

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 290611 Octet(s)

Détails techniques:

A son exécution, Picrate-B ouvre le navigateur par défaut vers la page :

www.{censuré}.com/forums/LOL-AlbinoGorrilla.jpg

Picrate-B dépose ensuite les fichiers suivants dans le dossier %System% :

- netstat.com
- ping.com
- tracert.com
- tasklist.com
- taskkill.com
- regedit.com
- cmd.com
- wini.exe (une copie du ver Spybot)
- xtc.tmp (une copie du ver)
- Download.zip (l'archive ZIP contenant le ver)
- bszip.dll (un composant DLL (Dynamic Link Library))
- ANSMTP.DLL (un composant DLL (Dynamic Link Library))

N.B. : Picrate-B détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Picrate-B ajoute des entrées de registre relatives à ANSMTP.DLL :

HKEY_CLASSES_ROOT\ANSMTP.OBJ.1
HKEY_CLASSES_ROOT\ANSMTP.OBJ
HKEY_CLASSES_ROOT\ANSMTP.MassSender.1
HKEY_CLASSES_ROOT\ANSMTP.MassSender
HKEY_CLASSES_ROOT\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}
HKEY_CLASSES_ROOT\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}
HKEY_CLASSES_ROOT\Typelib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}
HKEY_CLASSES_ROOT\Interface\{68B8DCDB-EFA4-420A-BB8A-71B9892A2063}
HKEY_CLASSES_ROOT\Interface\{1E98666F-6260-42C9-B846-32B20fDEFE7B}
HKEY_CLASSES_ROOT\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}
HKEY_CLASSES_ROOT\Interface\{B13281CF-8778-4C98-AE23-ABBA4637A33D}


Après avoir réuni les les adresses des contacts de Yahoo! Messenger et MSN Messenger, il leur envoi une copie du ver par e-mail, dont voici les caractéristiques :

Objet : Hehehe LOL!!
Corps du message : I just saw this on my computer from a while ago
download it and see if you can remember ;)
lol i was lauging like crazy when i saw! :D
email me back hehe...


Objet : Your Photo Is On A Webpage!!
Corps du message : I was veiwing this website and came across
a picture they look just like you! infact im sure
it is haha , did you email this pic into them ? or
is it someonce elses that looks like you :S ? pic is attached
in zip file so download it and see then email me back!


Objet : Hey Rate My Pic Plz...
Corps du message : Hi ive sent out 4 emails now & nobody will rate
my photo! :( please download and tell me your opinion
rated out of 10 , its ok if you dont like it
just say i wont be offended p.s i was drunk when
it was taken haha :)


Objet : Someone Admire's You!
Corps du message : Someone has asked us on there behalf to send
you this email and tell you they think you are
Amazing!! All the The secret persons details
you need are enclosed in the attachment :)
please download and respond telling us if you
would like to make further contact with this
person.


Regards Hallmark Admirer's Admin.


Pièce-jointe

Son nom peut être l'un d'eux :

IMG_001.scr
Sexy_02.scr
Scanned_03.scr
Photo_01.pif
Admirer_005.scr
Your_pic.scr
Lover_01.scr
Just_For_You.pif



Picrate-B exécute ensuite le fichier wini.exe (variante du ver Spybot).

Pour que ce programme se lance à chaque démarrage de Windows, Picrate-B ajoute la valeur de registre "IE Runtime" = "wini.exe" aux clefs suivantes :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa


Picrate-B désactive le modèle d'architecture distribuée (DCOM) en modifiant la valeur "EnableDCOM" = "N", dans la clef de registre :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE

Puis pour restreindre l'accès anonyme au partage réseau, le ver modifie la valeur restrictanonymous" = "1" de la clef :

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa

Le ver peut contacter un serveur IRC (paris-hack.com 8080) pour recevoir des instructions.




http://www.depannetonpc.net