Worm.Win32_Appflet-A
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Appflet-A peut arriver dans un courriel avec les caractéristiques suivantes :
Objet : Actors Sexy Pictures! (Axe Sexye Bazigarhaye Cinema)
Corps du message choisi parmi les suivants :
Hi my friend. This is a funny sexy actors pictures. Enjoy it!!
Salam be tamamie baro bach inam ye collectione bahal az axaye sexye bazigaraye
cinamast. bebinid va faghat Bekhandid!! ;)
Pièce jointe : ActorsGallery.zip
Lorsqu'il est exécuté, W32/Appflet-A affiche le faux message d'erreur suivant "The installation has failed to start because _agl43.dll was not found. Re-installing the application may fix this
problem." avec le titre "error loading dll"
Puis il se copie dans :
%Windows%\msgex32.exe
%System%\InstallGallery.exe
%System%\ircmgmt.exe
où msgex32.exe et ircmgmt.exe sont des noms de fichiers créés aléatoirement à partir des chaînes de caractères suivantes :
mgr
mgmt
ex32
svc
explore
pw32
info
pager
alert
reg
sys
win
msg
reg
update
inet
pager
yahoo
msn
irc
Enfin il crée les fichiers suivants :
%Windows%\Flagex.Flg
%System%\ActorsGallery.zip
%System%\sysfile.dat
%System%\zippwdinfo.dat
où ActorsGallery.zip est une copie du ver zippée protégée par mot de passe du ver et zippwdinfo.dat est un fichier de données qui contient le mot de passe.
L'entrée suivante de registre est créée pour exécuter msgex32.exe au démarrage :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
msgex32
%Windows%\msgex32.exe
L'entrée suivante du registre est paramétrée, de manière à ce que ircmgmt.exe soit exécuté à l'ouverture/au lancement de fichiers avec des extensions EXE :
HKCR\exefile\shell\open\command
(par défaut)
%System%\ircmgmt.exe "%1" %*
Taille: Inconnue
Détails techniques:
Appflet-A peut arriver dans un courriel avec les caractéristiques suivantes :
Objet : Actors Sexy Pictures! (Axe Sexye Bazigarhaye Cinema)
Corps du message choisi parmi les suivants :
Hi my friend. This is a funny sexy actors pictures. Enjoy it!!
Salam be tamamie baro bach inam ye collectione bahal az axaye sexye bazigaraye
cinamast. bebinid va faghat Bekhandid!! ;)
Pièce jointe : ActorsGallery.zip
Lorsqu'il est exécuté, W32/Appflet-A affiche le faux message d'erreur suivant "The installation has failed to start because _agl43.dll was not found. Re-installing the application may fix this
problem." avec le titre "error loading dll"
Puis il se copie dans :
%Windows%\msgex32.exe
%System%\InstallGallery.exe
%System%\ircmgmt.exe
où msgex32.exe et ircmgmt.exe sont des noms de fichiers créés aléatoirement à partir des chaînes de caractères suivantes :
mgr
mgmt
ex32
svc
explore
pw32
info
pager
alert
reg
sys
win
msg
reg
update
inet
pager
yahoo
msn
irc
Enfin il crée les fichiers suivants :
%Windows%\Flagex.Flg
%System%\ActorsGallery.zip
%System%\sysfile.dat
%System%\zippwdinfo.dat
où ActorsGallery.zip est une copie du ver zippée protégée par mot de passe du ver et zippwdinfo.dat est un fichier de données qui contient le mot de passe.
L'entrée suivante de registre est créée pour exécuter msgex32.exe au démarrage :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
msgex32
%Windows%\msgex32.exe
L'entrée suivante du registre est paramétrée, de manière à ce que ircmgmt.exe soit exécuté à l'ouverture/au lancement de fichiers avec des extensions EXE :
HKCR\exefile\shell\open\command
(par défaut)
%System%\ircmgmt.exe "%1" %*
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
