Worm.Win32_Nopir-C
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Lorsqu'il est exécuté, Nopir-C affiche à l'écran une image contre le piratage informatique et tente de supprimer les fichiers ayant l'extension suivante :
AVI
MP3
MPEG
MPG
RAR
Nopir-C peut se copier aux emplacements suivants :
C:\Program Files\KaZaA\My Shared Folder\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe
C:\Program Files\Outlook Express.sav\outlookrem.exe
C:\Program Files\emule\Incoming\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe
C:\Program Files\system prot\mmsete.exe
C:\Program Files\StreamCast\Morpheus\My Shared Folder\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe
C:\Program Files\Gnucleus\Downloads\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe
Le ver crée également un fichier nommé "THE PUNISHMENT OF (WIN 32 NOPIR) !!!.txt." à la racine du disque C: dont le contenu est le suivant :
THE ILLEGAL COPY IS AN ORGANIZED CRIME !!!
Afin d'être exécuté à chaque démarrage d'une session utilisateur, Nopir-C ajoute les entrées suivantes à la base de registre :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sysmem
C:\Program Files\Outlook Express.sav\outlookrem.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
memory
C:\Program Files\Outlook Express.sav\outlookrem.exe
Les entrées suivantes sont également ajoutées pour permettre au ver d'être exécuté lorsqu'un fichier avec l'extension BAT, COM, EXE, PIF ou SCR est ouvert :
HKCR\VBEFile\Shell\Open\Command
(default)
C:\Program Files\Outlook Express.sav\outlookrem.exe
HKCR\VBSFile\Shell\Open\Command
(default)
C:\Program Files\Outlook Express.sav\outlookrem.exe
HKCR\batfile\shell\open\command
(default)
C:\Program Files\Outlook Express.sav\outlookrem.exe
HKCR\cmdfile\shell\open\command
(default)
C:\Program Files\Outlook Express.sav\outlookrem.exe
HKCR\exefile\shell\open\command
(default)
C:\Program Files\Outlook Express.sav\outlookrem.exe
HKCR\inffile\shell\open\command
(default)
C:\Program Files\Outlook Express.sav\outlookrem.exe
HKCR\piffile\shell\open\command
(default)
C:\Program Files\Outlook Express.sav\outlookrem.exe
HKCR\regfile\shell\open\command
(default)
C:\Program Files\Outlook Express.sav\outlookrem.exe
HKCR\scrfile\shell\open\command
(default)
C:\Program Files\Outlook Express.sav\outlookrem.exe
Les entrées suivantes sont également crée pour empêcher l'ouverture de l'éditeur de registre (regedit) et du gestionnaire des tâches (taskmgr):
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools
1
Enfin la clé suivante est ajoutée :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoControlPanel
1
Taille: Inconnue
Détails techniques:
Lorsqu'il est exécuté, Nopir-C affiche à l'écran une image contre le piratage informatique et tente de supprimer les fichiers ayant l'extension suivante :
AVI
MP3
MPEG
MPG
RAR
Nopir-C peut se copier aux emplacements suivants :
C:\Program Files\KaZaA\My Shared Folder\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe
C:\Program Files\Outlook Express.sav\outlookrem.exe
C:\Program Files\emule\Incoming\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe
C:\Program Files\system prot\mmsete.exe
C:\Program Files\StreamCast\Morpheus\My Shared Folder\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe
C:\Program Files\Gnucleus\Downloads\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe
Le ver crée également un fichier nommé "THE PUNISHMENT OF (WIN 32 NOPIR) !!!.txt." à la racine du disque C: dont le contenu est le suivant :
THE ILLEGAL COPY IS AN ORGANIZED CRIME !!!
Afin d'être exécuté à chaque démarrage d'une session utilisateur, Nopir-C ajoute les entrées suivantes à la base de registre :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sysmem
C:\Program Files\Outlook Express.sav\outlookrem.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
memory
C:\Program Files\Outlook Express.sav\outlookrem.exe
Les entrées suivantes sont également ajoutées pour permettre au ver d'être exécuté lorsqu'un fichier avec l'extension BAT, COM, EXE, PIF ou SCR est ouvert :
HKCR\VBEFile\Shell\Open\Command
(default)
C:\Program Files\Outlook Express.sav\outlookrem.exe
HKCR\VBSFile\Shell\Open\Command
(default)
C:\Program Files\Outlook Express.sav\outlookrem.exe
HKCR\batfile\shell\open\command
(default)
C:\Program Files\Outlook Express.sav\outlookrem.exe
HKCR\cmdfile\shell\open\command
(default)
C:\Program Files\Outlook Express.sav\outlookrem.exe
HKCR\exefile\shell\open\command
(default)
C:\Program Files\Outlook Express.sav\outlookrem.exe
HKCR\inffile\shell\open\command
(default)
C:\Program Files\Outlook Express.sav\outlookrem.exe
HKCR\piffile\shell\open\command
(default)
C:\Program Files\Outlook Express.sav\outlookrem.exe
HKCR\regfile\shell\open\command
(default)
C:\Program Files\Outlook Express.sav\outlookrem.exe
HKCR\scrfile\shell\open\command
(default)
C:\Program Files\Outlook Express.sav\outlookrem.exe
Les entrées suivantes sont également crée pour empêcher l'ouverture de l'éditeur de registre (regedit) et du gestionnaire des tâches (taskmgr):
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools
1
Enfin la clé suivante est ajoutée :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoControlPanel
1
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
