Worm.VBS_Nukip

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 6635 Octet(s)

Détails techniques:

Une fois Nukip exécuté, il crée et exécute le fichier %Windir%\Ipnuker.bat, intervertissant les boutons de la souris.

N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.

Afin de se lancer à chaque démarrage de Windows, Nukip ajoute les valeurs :

"Windowz" = "%Windir%\{nom_du_fichier_du_ver}.vbs"
"VBS.Ipnuker@mm" = "%Windir%\{nom_du_fichier_du_ver}.vbs"

à la clef :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Le ver se copie également sous le nom :

%Windir%\Démarrer\Programmes\Démarrage\Windows.vbs

Nukip change la page de démarrage d'Internet Explorer en http://www.virus{censuré}.com et le nom de l'ordinateur en "Infected Idiot".

Si l'horloge de l'ordinateur est ajustée au mois de Janvier, le ver effectue les opérations suivantes :

- Création des fichiers suivants :

C:\Ipnuker.txt
C:\IpnukerInfection.txt
VBS.Ipnuker@mm.lnk
C:\Ipnuker@mm.lnk
C:\Ip\Ip.txt
C:\Ip\Ip.lnk
C:\Ipnuker.lnk

- Modification du fichier C:\mirc\scripts.ini pour se répandre par IRC.

- Affichage du message suivant :

Upgrading Your Windows Files.

- Tentative de suppression des dossiers %Windir% et %System%.

N.B. : Nukip détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

- Affichage du message suivant :

Files Are Done With.

Si l'horloge de l'ordinateur est ajustée au mois de Juin, le ver effectue les opérations suivantes :

- Création des fichiers suivants :

C:\Upgrade.lnk
C:\Ipnuker

- Tentative de suppression du dossier %Windir%.

- Tentative de propagation par e-mail.