Worm.Win32_Pmx-A

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 60928 Octet(s)

Détails techniques:

PMX-A utilise une icône en forme de gruyère (voir capture d'écran).

Quand il est exécuté, PMX-A se copie dans "%Windir%\system\Rundll32~.exe" et ajoute l'entrée de registre suivante afin d'être lancé à chaque démarrage de Windows :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Rundll32 = "%Windows%\system\Rundll32~.exe /out"

PMX-A tente de se propager à travers le réseau de peer-to-peer Kazaa. Poru cela, le ver crée le dossier ""%Windir%\Programy_MX" et modifie l'entrée de registre suivante :

HKCU\Software\Kazaa\LocalContent\Dir0= "012345:%Windows%\Programy_MX"

N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.

Le ver se copie donc dans ce nouveau dossier sous les noms :

GTA San Andreas Crack.exe
Norton AntyVirus 2005 full.exe
Mks_vir 2005.exe
Half Life 2 Crack - multiplayer.exe
The Sims 2 crack.exe
Directx10 v2.3 fullversion PL.exe
GaduReader 3.5.exe
Partition Magic 8.6.exe
Partition Magic 9.exe
Half Life 2 dodatek.exe
Roller Coaster Tycoon 3 crack.exe
The Sims 2 - crack na budowanie.exe
ReadKeys - Mks_vir 2005.exe

PMX-A recherche sur les disques non amovibles, les fichiers ayant l'extension .EXE ; une fois trouvée, il remplace le fichier par une copie du ver et déplace le fichier original dans le dossier créé "{racine}\Mouse_MX".

N.B. : {racine} représente le répertoire racine du lecteur où le ver a été exécuté (généralement C:).

Le ver ajoute les entrées de registre suivantes en tant que marqueur d'infection :

HKCU\Software\Mouse_MX2\City = "Tarnów"
HKCU\Software\Mouse_MX2\Country = "Polska"
HKCU\Software\Mouse_MX2\Date = "9.11.2004"
HKCU\Software\Mouse_MX2\Infection = {Date_actuelle}
HKCU\Software\Mouse_MX2\Name = "Mouse MX"
HKCU\Software\Mouse_MX2\Type = "virus"
HKCU\Software\Mouse_MX2\Version = "1.1"

Capture(s) d'écran: