Worm.Win32_Tame-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Tame-A tente de se copier dans les dossiers partagés des applications peer-to-peer KaZaa, Morpheus, iMesh, eDonkey et LimeWire.

Lorsqu'il est exécuté, le ver ouvre un fichier de données "Me^sa~e#4%" à l'aide de l'application Bloc-notes.

Tame-A tente de désactiver plusieurs produits de sécurité et pare-feu. Le ver modifie aussi le fichier HOSTS du système dans le but d'empêcher l'accès à certains sites Web.

Lorsqu'il est exécuté, Tame-A se copie dans %Systeme%\lsasrv.exe et crée les fichiers suivants :

%Temp%\Me^sa~e#4%
%Temp%\Mesa~e#4.txt
%Systeme%\iexplor.dll
%Systeme%\shlapiw.dll
%Systeme%\version.ini

Note: '%System%' est une variable de localisation. Tame-A détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.

Le fichier iexplor.dll est détecté sous le nom de MyDoom-M.

Le fichier shlapiw.dll est détecté sous le nom de HideProc-F.

Pour exécuter lsasrv.exe, l'entrée de registre suivante est créée :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsass
%Systeme%\lsasrv.exe


Le ver s'ajoute aussi à la valeur de l'entrée de registre suivante :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell





http://www.pourriel.ca/