Worm.Win32_Alcan-A
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 423693 Octet(s)
Détails techniques:
A son exécution, Alcan-A se copie sous le nom C:\Program Files\MsConfigs\MsConfigs.exe et crée une copie de lui-même sous le nom C:\z.tmp.
Le ver modifie le registre afin de s'exécuter à chaque démarrage de Windows :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"MsConfigs" = "C:\Program Files\MsConfigs\MsConfigs.exe"
Pendant cette procédure d'installation, Alcan-A masque sa présence en affichant une "fausse fenêtre" d'erreur d'installation (voir capture d'écran).
Le ver crée également le fichier %System%\bszip.dll utilisé pour la compression ZIP.
N.B. : Alcan-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Alcan-A utilise les réseaux de partage peer-to-peer. Pour cela, le ver cherche sur la machine infectée les dossiers comportant les mots suivants :
shared
res\My Shared Folder
eMule\Incoming
Kazaa\My Shared Folder
My Shared Folder
morpheus\My Shared Folder
grokster\my grokster
earshare\Shared
Limewire\Shared
donkey2000\Incoming
gnucleus\downloads
shareaza\downloads
rapigator\share
Afin de collecter des noms de fichiers pour se copier, le ver télécharge une série de pages depuis le site web newcracks.net, et sauvegarde cette liste de noms de fichier dans des fichiers textes (C:\x.txt ou C:\z.txt). En utilisant le fichier bszip.dll, le ver crée une de ses copies au format ZIP : C:\temp.zip. Alcan-A se recopie ainsi dans les dossiers cités ci-dessus, en utilisant tous les noms récolter dans les fichiers C:\x.txt ou C:\z.txt.
Le fichier dans le zip s'appelle "setup.exe".
Le ver crée les fichiers suivants avec les caractéristiques "Fichier caché" et "Fichier système" :
%System%\cmd.com
%System%\netstat.com
%System%\ping.com
%System%\regedit.com
%System%\taskkill.com
%System%\tasklist.com
%System%\taskmgr.exe
%System%\tracert.com
La mise en place de ces fichiers permet de faire exécuter autre chose que le programme désiré. Par exemple, en tappant "regedit", l'utilisateur n'aura pas accès à la base de registre (regedit.exe) mais le programme "regedit.com".
Alcan-A dépose aussi une copie du ver Rbot sous le nom C:\bt.exe.
N.B. : Alcan-A a besoin du fichier MSVBVM60.DLL pour fonctionner correctement.
Capture(s) d'écran:
Taille: 423693 Octet(s)
Détails techniques:
A son exécution, Alcan-A se copie sous le nom C:\Program Files\MsConfigs\MsConfigs.exe et crée une copie de lui-même sous le nom C:\z.tmp.
Le ver modifie le registre afin de s'exécuter à chaque démarrage de Windows :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"MsConfigs" = "C:\Program Files\MsConfigs\MsConfigs.exe"
Pendant cette procédure d'installation, Alcan-A masque sa présence en affichant une "fausse fenêtre" d'erreur d'installation (voir capture d'écran).
Le ver crée également le fichier %System%\bszip.dll utilisé pour la compression ZIP.
N.B. : Alcan-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Alcan-A utilise les réseaux de partage peer-to-peer. Pour cela, le ver cherche sur la machine infectée les dossiers comportant les mots suivants :
shared
res\My Shared Folder
eMule\Incoming
Kazaa\My Shared Folder
My Shared Folder
morpheus\My Shared Folder
grokster\my grokster
earshare\Shared
Limewire\Shared
donkey2000\Incoming
gnucleus\downloads
shareaza\downloads
rapigator\share
Afin de collecter des noms de fichiers pour se copier, le ver télécharge une série de pages depuis le site web newcracks.net, et sauvegarde cette liste de noms de fichier dans des fichiers textes (C:\x.txt ou C:\z.txt). En utilisant le fichier bszip.dll, le ver crée une de ses copies au format ZIP : C:\temp.zip. Alcan-A se recopie ainsi dans les dossiers cités ci-dessus, en utilisant tous les noms récolter dans les fichiers C:\x.txt ou C:\z.txt.
Le fichier dans le zip s'appelle "setup.exe".
Le ver crée les fichiers suivants avec les caractéristiques "Fichier caché" et "Fichier système" :
%System%\cmd.com
%System%\netstat.com
%System%\ping.com
%System%\regedit.com
%System%\taskkill.com
%System%\tasklist.com
%System%\taskmgr.exe
%System%\tracert.com
La mise en place de ces fichiers permet de faire exécuter autre chose que le programme désiré. Par exemple, en tappant "regedit", l'utilisateur n'aura pas accès à la base de registre (regedit.exe) mais le programme "regedit.com".
Alcan-A dépose aussi une copie du ver Rbot sous le nom C:\bt.exe.
N.B. : Alcan-A a besoin du fichier MSVBVM60.DLL pour fonctionner correctement.
Capture(s) d'écran:
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
