Worm.VBS_Ipnuker-A

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 5985 Octet(s)

Détails techniques:

A son exécution, Ipnuker-A dépose les fichiers suivants :

%Windir%\favorites\ipnuker.url
%Windir%\ipnuker.vbs
C:\mirc\ipnuker.vbs

N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.

Le ver peut se propager par e-mail ou par IRC.

Il utilise les commandes MAPI pour se propager et récolter des adresses e-mails stockées sur la machine infectée. Il envoie ensuite l'e-mail suivant aux adresses récupérées :

- Si la date de la machine infectée est avant le 15 mars, le ver envoie le message suivant :

Objet : Important Windows Security

Corps : Open the attachment to begin the windows update.
This update is very important to ensure your safety.

Microsoft


- Si la date de la machine infectée est le 15 mars ou après le 15 mars, le ver envoie le message suivant :

Objet : Yo Wats Up There

Corps : Open the attached file to get to the pictures you wanted.

Pour une propagation par IRC, le ver crée ipnuker.mrc dans le répertoire de mIRC. Il ajoute ensuite la chaîne n3=c:\mirc\Ipnuker.mrc au fichier mirc.ini. Ce qui permet à Ipnuker-A de s'envoyer aux utilisateurs du canal IRC.

C'est seulement pendant les mois de janvier, juin et décembre que Ipnuker-A exécute cette routine d'infection. Il crée le fichier ipusercreate.bat dans le répertoire %Windir%. Ce fichier ajoute un nombre généré aléatoirement qui connecte ensuite l'utilisateur à un réseau via la commande Net User.

Il enregistre ce nombre dans un fichier texte avec ce nombre en tant que nom de fichier dans le répertoire racine (généralement C:).

Ipnuker-A modifie également les entrées de registre suivantes :

HKEY_CLASSES_ROOT\VBSFile\Shell\Command\
Default = "C:\system32\WScript.exe"

HKEY_CLASSES_ROOT\VBSFile\Edit\Command\
Default = "C:\system32\WScript.exe"

HKEY_CLASSES_ROOT\txtfile\shell\open\command\
Default = "C:\system32\WScript.exe"

HKEY_CLASSES_ROOT\txtfile\shell\print\command\
Default = "C:\system32\WScript.exe"

HKEY_CLASSES_ROOT\txtfile\shell\printto\command\
Default = "C:\system32\WScript.exe"

HKEY_CLASSES_ROOT\Unknown\shell\openas\command\
Default = C:\system32\WScript.exe"

HKEY_CLASSES_ROOT\themefile\shell\open\command\
Default = "C:\system32\WScript.exe"

HKEY_CLASSES_ROOT\Shell\shell\explore\command\
Default = "C:\Windows\Ipnuker.vbs"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version
RegisteredOwner = "Ipnuker.Net"

Ipnuker-A modifie aussi les entrées de registre suivantes pour changer les icônes des fichiers .inf, .ini, .jpeg, .mp3, .mpeg, .txt et .vbs :

HKEY_CLASSES_ROOT\VBSFile\DefaultIcon
Default = "shell32.dll,-298"

HKEY_CLASSES_ROOT\txtfile\DefaultIcon
Default = "shell32.dll,-16"

HKEY_CLASSES_ROOT\mpegfile\DefaultIcon
Default = "shell32.dll,-52"

HKEY_CLASSES_ROOT\mp3file\DefaultIcon
Default = "shell32.dll,-512"

HKEY_CLASSES_ROOT\jpegfile\DefaultIcon
Default = "shell32.dll,-52"

HKEY_CLASSES_ROOT\inifile\DefaultIcon
Default = "shell32.dll,-16"

HKEY_CLASSES_ROOT\inffile\DefaultIcon
Default = "shell32.dll,-5"

HKEY_CLASSES_ROOT\txtfile\DefaultIcon
Default = "shell32.dll,-16"

Ipnuker-A écrase tous les fichiers .vbs, .txt et .bat contenus dans le bureau de tous les utilisateurs et dans le dossier "Mes documents".

Ipnuker-A interchange les boutons droit et gauche de la souris.

Il supprime le logiciel "Norton Antivirus" du dossier Program Files.

Il remplace le fichier autoexec.bat par un code affichant le message suivant au démarrage :

This Computer Was Made By Ipnuker Copyrighted By Ipnuker For Forever